Intégration d’une PKI tierce(OpenCA)dans un domaine Windows 2000.
Pascal Gachet –EIVD
pascal.gachet@eivd.ch
décembre 2002
Intégration d’une PKI tiers dans un domaine Windows 2000 - 2 –
Résumé
Ce document décrit de manière générale, les différentes étapes permettant l’intégration d’unePKI non-Microsoft dans un domaine Windows 2000, en vue d’une authentification
smart card logon
basée sur
pkinit
.De manière spécifique, la PKI réellement intégrée dans le domaine Windows 2000 est leproduit OpenCA qui utilise largement les fonctionnalités cryptographies d’OpenSSL.
Tables des matières
Résumé..................................................................................... 2
1
Introduction......................................................................... 3
2
Pré-requis............................................................................ 4
2.1
Publication du certificat root dans le fichier Ntauth.........................4
2.2
Ajout de la CA root à la liste Entreprise trust list.............................7
2.3
Génération du certificat pour le contrôleur de domaine....................8
2.4
Création d’un nouveau rôle « kdc »................................................10
2.4.1
Définition d’une politique de certificat pour le rôle kdc...........11
2.4.2
Ajout des extensions spécifiques à un contrôleur de domainemicrosoft. 11
2.5
Prise en charge de la requête depuis OpenCA.................................12
2.6
Installation du certificat contrôleur de domaine.............................14
2.7
Publication du certificat dans Active Directory..............................14
2.8
Création d’un nouveau rôle « clientMS »........................................15
2.9
Création puis installation du certificat utilisateur sur le supporthardware....................................................................................................16
3
Annexe (extensions).............................................................18
3.1
Kdc.ext.........................................................................................18
3.2
UserMs.ext....................................................................................18
4
Annexe (policy) ...................................................................19
4.1
Kdc.conf.......................................................................................19
4.2
UserMs.conf.................................................................................21
Intégration d’une PKI tiers dans un domaine Windows 2000 - 3 –
1
Introduction
Les mécanismes d’authentification et de contrôle des droits d’accès dans un domaineWindows 2000 se basent sur le protocole Kerberos et l’annuaire Active directory.Dans un scénario de login traditionnel, l’utilisateur introduit son nom d’utilisateur et un motde passe. En réalité, une empreinte du mot de passe est transférée par le réseau. Le contrôleurde domaine Windows 2000 vérifiera les informations utilisateurs en comparent l’empreinte dumot de passe utilisateur contenu localement sur le contrôleur avec l’empreinte passée parl’utilisateur lors du login.La fonctionnalité
smart card logon
permet de renforcer sensiblement la procédure de login enremplacent le mot de passe par un certificat numérique contenu dans une
smart card hardware
.L’authentification de l’utilisateur se base toujours sur le mécanisme centralisé Kerberosversion 5, mais il nécessite une reconnaissance réciproque du client et du contrôleur dedomaine par une signature numérique et l’échange des certificats x509 utilisés pour lasignature (voire document
Pkinit VS MD5
)
.
Pour rendre possible cette politique de login par authentification forte, il est nécessaired’intégrer les mécanismes PKI au cœur même du système Windows 2000.Microsoft fournit différents outils permettant de mettre sur pied une autorité de certificationprivée « Microsoft CA » l’intégration de cet élément au cœur d’active directory commemécanisme d’authentification supplémentaire permet également d’adapter le protocoleKerberos aux nouveaux mécanismes PKI.De façon incontestable, l’ajout des mécanismes PKI dans un domaine W2K accroît la sécuritéglobale de tout le système. Mais de nombreuses controverses concernant la sécurité ou la nonsécurité des équipements Microsoft, notamment sur un accort secret entre la NSA etMicrosoft, ont mis en évidence le besoin de remplacer toutes applications Microsoft senséesgarantir la confidentialité par des applications développées par d’autres constructeurs, jugésplus sûr, ce qui s’applique particulièrement à la CA de Microsoft.Malgré cet état des lieux, il est nécessaire d’installer la CA Microsoft en premier lieu pourbénéficier des mécanismes additionnels apportés à Kerberos lors de cette installation. Ensecond lieu, la CA Microsoft proprement dite sera remplacée par notre propre autorité decertification OpenCA dont nous contrôlons parfaitement l’intégrité.
Search History:
Result 00 of 00
00 results for result for
p.
More From This User
Notes
Load more
