Ceci est la partie 5A (une variante de cet article avec la solution OTP de Gemalto sera baptisée partie 5B) d’une série d’articles consacrée au montage d’une plateforme de test/démos de DirectAccess avec Windows 7 / Windows Server 2008 R2 / Forefront UAG 2010 SP1. Les quatre premières parties sont disponibles via les liens suivants :

Partie 1 : Description de la plateforme
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-1-description-de-la-plateforme.aspx

Partie 2 : Préparation et installation de Forefront UAG SP1
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-2-pr-233-paration-et-installation-de-forefront-uag-sp1.aspx

Partie 3 : Assistant de configuration DirectAccess
http://blogs.technet.com/b/stanislas/archive/2011/01/27/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-3-assistant-de-configuration-directaccess.aspx

Partie 4 : OTP avec RSA SecurID – installation et configuration de RSA Authentication Server 7.1
http://blogs.technet.com/b/stanislas/archive/2011/03/02/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-4a-otp-avec-rsa-securid.aspx

Ce 5 ème article va présenter le paramétrage d’une authentification OTP utilisant la solution RSA SecurID dans cette infrastructure et sera focalisé sur le paramétrage côté serveur Forefront UAG 2010 (pour voir la partie concernant le serveur ACE, cf. ici)

Il n’est pas nécessaire de repasser l’ensemble des écrans de l’assistant DirectAccess (déjà fait lors de l’étape 3).

Donc on repart dans l’assistant de configuration de DirectAccess dans Forefront UAG 2010 SP1.

Là dans le bloc Step 2 DirectAccess Server, cliquer sur Two-Factor Authentification

Cocher Require two-factor authentication et sélectionner Clients will authenticate using a one-time password (OTP). Cliquer Next

Cliquer sur Add pour ajouter un serveur d’authentification OTP.

Dans la zone Server Type, sélectionner RSA SecurID puis saisir l’ensemble des informations demandées (nom, IP…)

Cliquer sur Next

Ici il va falloir spécifier le serveur Autorité de Certification qui va être utilisé pour délivrer les certificats temporairement d’authentification. Ce serveur est obligatoirement un serveur Windows Server 2008 R2 dédié à cet usage. Dans cette plateforme de test, c’est la machine PKI2 (cf. schéma de l’architecture de la plateforme ici). Cliquer sur Add

Cliquer sur Browse

Sélectionner le serveur dans la liste proposée (normalement c’est facile dans cette infra ;-))

A noter : l’assistant ne propose pas l’autorité de certification utilisée pour délivrer les certificats IPsec des machines (c’est tout à fait normal)

Laisser l’option “Use a UAG DirectAccess script to configure CA templates and automatic renewal” cochée. Comme l’équipe produit Forefront UAG a bien bossé, l’assistant génère un script qui va tout configurer sur cette CA dédiée (modèles de certificats…) pour vous ! Cliquer sur Next

Laisser les paramètres par défaut.

Il est possible d’exporter le script de configuration (histoire de savoir comment il fonctionne).

Cliquer sur Apply pour exécuter le script de configuration de la CA délivrant les certificats temporaires d’authentification aux utilisateurs DirectAccess.

Puis cliquer sur Finish

Cliquer sur Apply Now


Ensuite un bon gpupdate /force histoire d’appliquer l’ensemble des modifications sur le serveur DirectAccess.

Voilà, la configuration côté serveurs est terminée, il reste à appliquer la GPO côté postes clients Windows 7 et à tester.

Donc on met le poste Windows 7 “sur Internet”, on tente de se connecter à une ressource interne (dans le LAN de l’entreprise). Là normalement un prompt apparait demandant la valeur affichée sur le token RSA SecurID

Quand l’authentification est faite, l’accès est transparent (c’est du DirectAccess quoi :-))

Pour vérifier que tout fonctionne bien (et avec l’OTP, pas le mot de passe), il suffit d’ouvrir la MMC Certificates – Current User et d’explorer la branche Personal et de vérifier la présence d’un certificat émis par l’autorité de certification de l’OTP (PKI2)

Et côté serveur Forefront UAG 2010 SP1, il est possible de vérifier l’usage des certificats “OTP” dans la console de surveillance (Web Monitor – DirectAccess Monitor)

Stanislas Quastana