Ceci est la partie 4A (une variante de cet article avec la solution OTP de Gemalto sera baptisée partie 4B) d’une série d’articles consacrée au montage d’une plateforme de test/démos de DirectAccess avec Windows 7 / Windows Server 2008 R2 / Forefront UAG 2010 SP1. Les trois premières parties sont disponibles via les liens suivants :

Partie 1 : Description de la plateforme
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-1-description-de-la-plateforme.aspx

Partie 2 : Préparation et installation de Forefront UAG SP1
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-2-pr-233-paration-et-installation-de-forefront-uag-sp1.aspx

Partie 3 : Assistant de configuration DirectAccess
http://blogs.technet.com/b/stanislas/archive/2011/01/27/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-3-assistant-de-configuration-directaccess.aspx

Ce 4ème article va présenter le paramétrage d’une authentification OTP utilisant la solution RSA SecurID dans cette infrastructure.

Vous vous demandez peut être pourquoi ne pas avoir intégré ces élements de configuration avec l’Assistant de configuration (cf. partie 3) ? La raison est très simple : il est fortement conseillé de mettre en oeuvre DirectAccess de manière graduelle afin de simplifier le processus de dépannage en cas de soucis lors de la mise en oeuvre. Dans le contexte de cette plateforme, je sais que DirectAccess fonctionne dès la fin de la partie 3 avec une authentification Windows standard (login + mot de passe d’un compte du domaine AD), il est donc plus facile d’intégrer la solution d’OTP et de re-passer l’assistant de configuration DirectAccess.

Je tiens au passage à remercier chaleureusement Jérôme Asseray de RSA qui m’a fourni non seulement les logiciels RSA et token OTP mais aussi son temps et une aide précieuse pour l’installation de sa solution RSA Authentication Server 7.1.

Note : il est possible de ne pas avoir à installer un serveur RSA si vous choisissez l’option Appliance RSA dans votre infrastructure de production

Voici le schéma de la plateforme de tests :

Configurations des différentes machines virtuelles (je rappelle que je suis sur Hyper-V de Windows Server 2008)

  • DC01R2 : 512 Mo de RAM, bi-cpu virtuel
  • WEB01 : 512 Mo, bi-cpu virtuel
  • CRL01 : 384 Mo, bi-cpu virtuel
  • LH99R2 : 512 Mo, bi-cpu virtuel
  • WIN7DA : 384 Mo, bi-cpu virtuel
  • WIN2003R2 : 2048 Mo (oui c’est beaucoup mais nécessaire pour le socle logiciel RSA qui sera configuré ultérieurement pour l’authentification OTP SecurID)
  • PKI2 : 384 Mo, bi-cpu virtuel
  • UAG01 : 1536 Mo, bi-cpu virtuel (important : en production c'est 8Go mini).

Tout cela permet de faire fonctionner (en mode test/démo) la plateforme sur une machine physique disposant de 8 Go de RAM (ce qui est le cas de mon Lenovo T61p). Il est cependant fortement recommandé de placer les fichiers VHD des machines virtuelles sur différents disques (3 dans mon cas) pour limiter le goulet d’étranglement sur les entrées/sorties (I/O) disque.

  • Pour plus d’informations la plateforme physique que j’ai utilisée, cliquer ici. Pour être franc : la plateforme DirectAccess de cet article met jusqu’à 20 minutes pour démarrer sur mon PC et se stabiliser dans un état utilisable, mais ça marche, la preuve lors de ma session DirectAccess des TechDays 2011 (cf. ici)

Et voici les quelques étapes que j'ai suivies pour installer tout cela : cf. ici

Dans la suite de cet article je vais me concentrer sur :

  • L’installation de la solution RSA Authentication Manager 7.1
  • La configuration de la solution RSA Authentication Manager 7.1

La configuration de DirectAccess sur Forefront UAG 2010 SP1 pour la prise en charge de l’authentification OTP RSA SecurID fera l’objet d’un autre article (partie 5B) sur ce blog.

Installation de la solution RSA Authentication Manager 7.1

Pré-requis :

  • Un serveur Windows Server 2003 32 bits à jours en terme de correctifs avec 2 Go de RAM mini et de l’espace disque
  • Disposer d’un kit d’évaluation et mieux encore : être déjà client ou avoir un bon contact chez RSA ou un des partenaires (afin d’obtenir à minima une version splitstreamée avec le SP2 ou ultérieur)

  • Beaucoup de patience, une machine à café et des collègues agréables avec qui discuter car l’installation prend du temps (surtout dans une VM comme dans mon environnement :-))

Trucs & actuces :

  • Ne pas tenter l’installation de RSA Authentication Manager 7.1 depuis un chemin réseau UNC
  • Copier les sources en local dans un répertoire avec un nom n’excédant pas 48 caractères (perso mes sources d’installation étaient dans c:\RSA).

Cliquer sur Install Now

Cliquer sur Next

Configuration de la solution RSA Authentication Manager 7.1

Double cliquer sur le raccourci RSA Security Console

Le message d’erreur est normal : RSA Authentication utilise par défaut un certificat auto-signé (donc non reconnu comme provenant d’une autorité de certification de confiance). Cliquer sur Continue to this website.

Saisir Administrator

Log On

Ajouter des licences pour les tokens : Menu Authentication —> SecurID Tokens —> Import Tokens Job —> Add New

Importer le fichier XML des licences

Le temps que le fichier soit importé. Il est ensuite possible de voir le statut d’importation des licences :

En fonction du nombre de tokens disponibles avec le fichier de licences importé précédemment, la liste de tokens disponibles est affichée (dans mon cas, j’ai 10 tokens Software et 2 tokens physiques)

Ensuite, il faut configurer les agents d’authentification RSA présents sur le réseau. Dans le cas de cette plateforme, c’est le serveur Forefront UAG 2010 (sera lequel le composant d’authentification RSA est déjà disponible car inclus par défaut dans Forefront TMG 2010)

Dans le champs Hostname saisir un FQDN correspondant à l’interface interne du serveur Forefront UAG 2010 (comme celui est aussi le routeur ISATAP, j’ai utilisé le FQDN isatap.stan-demo.net)

Cet agent d’authentification est de type Standard

Sauvegarder avec Save.

Opération suivante : générer un fichier de configuration pour l’agent d’authentification présent sur le serveur DirectAccess.

Dans la RSA Security Console, menu Access —> Authentication Agents —> Generate Configuration File

Il est possible de personnaliser quelques paramètres avant de générer le fichier. Pour cette plateforme ce n’est pas nécessaire.

Cliquer sur Download Now et copier le fiichier sur un emplacement accessible depuis le serveur UAG DirectAccess.

Opération suivante : configuration de l’agent d’authentification sur le serveur Forefront UAG 2010 SP1

Se connecter sur le serveur Forefront UAG 2010 SP1 et copier le fichier sdconf.rec (présent dans le fichier zip obtenu précédemment) dans %systemroot%\system32

Redémarrer la machine pour être certain que Forefront TMG & Cie prennent en compte ce fichier de configuration (il doit être possible de seulement redémarrer les services TMG mais pour des questions de dépendances TMG <—> UAG, je préfère faire simple)

Dans le journal d’évènement Application il doit y avoir un évènement 1012 pour la source ACECLIENT

Comme la machine Forefront UAG 2010 dispose (à minima) de 2 interfaces réseaux et 3 adresses IP (1 interne et 2 externes), il faut être certain que l’agent RSA est bien bindé sur l’adresse IP interne.

Pour cela, il est possible d’ajouter une entrée dans le Registre pour verrouiller le service sur une IP particulière.

Se positionner dans HKLM —> SOFTWARE —> SDTI

Créer une nouvelle clé AceClient et dans celle-ci une nouvelle valeur PrimaryInterfaceIP de type REG_SZ avec pour valeur l’adresse IP interne du serveur Forefront UAG 2010 SP1

Informations complémentaires :

Opération suivante : Définir l’annuaire Active Directory comme source d’identité pour le serveur RSA Authentication Server

Retour sur le serveur RSA Authentication Server 7.1

Double cliquer sur le raccourci RSA Security Operations Console et d’identifier avec le compte administrator RSA

Ici on est connecté sur l’instance primaire (la seule dans cet environnement de tests)

Cliquer sur Manage Identity Sources

Par défaut une source d’identité (base Interne sur plateforme Oracle) existe. Cliquer sur Add New Identity Source pour ajouter L’annuaire Active Directory

Remplir l’ensemble des champs dans la fenêtre Connections

Remplir l’ensemble des champs dans la fenêtre Connections

Sauvegarder, la base AD est désormais listée comme source d’identité pour le serveur RSA:

Opération suivante : Lier la nouvelle source d’identité (AD) à un royaume (Realm)

Retour dans la RSA Security Console

Opération suivante : Ajouter des comptes utilisateurs et leur associer des token RSA

Cliquer sur Add New pour ajouter un nouvel utilisateur de token. Dans mon cas, j’ai ajouté le compte squastana (utilisateur standard dans mon Active Directory)

Note : je viens de m’apercevoir que je me suis trompé lors de la capture d’écran suivante. Normalement c’est User:squastana et non User:Administrator

Cliquer sur Assign Token pour attribuer un Token à l’utilisateur.

Sélectionner le Token à assigner à l’utilisateur squastana et cliquer sur Assign

A ce stade, la partie RSA est prête à être accueillie dans l’infrastructure DirectAccess.

Prochaine étape : exécuter l’assistant de configuration DirectAccess pour définir l’authentification OTP et configurer les différents éléments impactés. Et ça c’est dans le prochain article :-)

Informations complémentaires sur Forefront UAG 2010 SP1, DirectAccess et l’authentification OTP :

Stanislas Quastana -