III- Mettre en place une stratégie d'accès distant
1-) Configuration du serveur d'accès
distant pour fonctionner dans un domaine
Pour autoriser un utilisateur à se connecter au réseau interne de
l'entreprise, le serveur d'accès distant doit autoriser et authentifier cet
utilisateur en comparant l'identifiant et le mot de passe avec les informations
contenues dans le service d'annuaire Active Directory. Pour que le serveur
d'accès distant puisse se connecter au contrôleur de domaine et effectuer ces
actions, deux conditions doivent être remplies :
- le serveur d'accès distant doit être membre du domaine.
- le serveur d'accès distant doit être explicitement autorisé pour accéder
aux informations contenues dans le service d'annuaire Active Directory (pour
cela il faut utiliser la commande netsh).
autorisation du serveur d'accès distant à l'aide de la commande netsh.
Pour qu'un utilisateur puisse se connecter à distance au réseau de
l'entreprise, il faut effectuer des modification au niveau de son compte dans le
service d'annuaire Active Directory. Il existe trois types d'autorisations :
- Autoriser l'accès
- Refuser l'accès
- Contrôler l'accès via la stratégie d'accès distant
Une stratégie d'accès distant est un ensemble de conditions définissant qui
pourra accéder à distance au réseau et quelles seront les caractéristiques de
cette connexion. Les critères d'acceptation ou de refus de connexions sont très
variés. Il est possible de configurer une stratégie pour refuser ou accepter un
connexion suivant une plage horaire, appartenance à un groupe, type de service,
protocole utilisé, temps maximum de connexion etc… L'ordre
de placement des stratégies est très important car c'est la première stratégie
concernée qui servira à accepter ou refuser la connexion. Les stratégies d'accès
distant ne sont pas stockées dans le service d'annuaire Active Directory, mais
dans le fichier local IAS.mdb (situé dans le répertoire c:\windows\system32\isa).
les trois types d'autorisations d'accès distant
(autoriser / refuser / contrôler avec une stratégie d'accès distant)
2-) Création d'une stratégie d'accès distant
L'assistant Nouvelle stratégie d'accès distant permet
de créer rapidement des stratégies d'accès distant.
Il faut commencer par donner un nom à la stratégie et choisir
le type de paramétrage. L'assistant propose d'utiliser un scénario prédéfini ou
bien de personnaliser totalement la stratégie d'accès distant (réservé aux
utilisateurs expérimentés en raison du nombre de protocoles disponibles).
Il existe quatre types méthodes d'accès définies par défaut.
Dans cet exemple, une connexion VPN (Virtual Private Network) est mise en place.
Il faut ensuite sélectionner le ou les groupes qui ont
l'autorisation de se connecter à distance.
Ensuite, il faut choisir le protocole d'authentification qui
sera utilisé (le choix par défaut est le protocole MS-CHAP V2).
Il faut ensuite sélectionner le niveau de cryptage et
terminer l'assistant.
3-) Paramétrage d'une stratégie d'accès distant
| Chaque stratégie d'accès distant possède un ordre d'application.
Lorsqu'un utilisateur tente d'établir une connexion le serveur d'accès
distant compare les stratégies d'accès distant en partant du numéro le
plus faible. La première stratégie dont les conditions (planification,
type de média, ...) correspondent est appliquée. Si aucune stratégie ne
concorde alors l'accès est refusée. On peut éditer les paramètres
d'une stratégie d'accès distant pour avoir accès à plus d'options. |
 |
 |
Dans la fenêtre de propriétés de chaque stratégie, les conditions
sélectionnée sont récapitulées dans une petite fenêtre. Le bouton
Ajouter permet d'implémenter des conditions supplémentaires.
Le bouton Modifier le profil permet de mettre en place des
conditions avancées pour la connexion. Si les conditions définies dans
la fenêtre Conditions de la stratégie sont vérifiés alors le
serveur d'accès distant applique les conditions définies dans le profil.
Le profil permet donc de filtrer de façon plus fine les demandes d'accès
distant. |
Le profil d'appel entrant permet de sélectionner des options
avancées comme :
-
le type de média (RNIS, VPN, ...).
-
le protocole d'authentification à utiliser (MS-CHAP V2,
EAP, ...).
-
le délai d'inactivité de la connexion.
-
la durée maximale d'une connexion.
-
la sélection du niveau de cryptage (aucun, MPPE 40bits,
MPPE 56bits ou MPPE 128bits).
-
les plages horaires autorisées pour l'accès à distance.
-
etc...
Du point de vue de la sécurité il est recommandé de mettre en
place les protocoles d'authentification MS-CHAP V2 ou EAP en utilisant le niveau
de cryptage le plus fort (128 bits) afin de minimiser les risques de piratage.
De plus il faut mettre en place les conditions horaires les plus strictes
(c'est-à-dire interdire l'accès à distance lorsque cela est possible, limiter la
durée d'une session et mettre en place une durée d'inactivité faible).
 Sommaire
1. Introduction
- présentation du service routage et accès distant
- infrastucture logicielle et matérielle de l'accès à distance
- principe de fonctionnement de l'accès à distance
2. Configuration générale du serveur
- lancer et activer le service RRAS
- paramètres avancés du serveur
- les protocoles d'authentification
3. Mettre en place une stratégie d'accès distant
- créer une stratégie d'accès distant
- les options avancées des stratégies d'accès distant
- le paramétrage des comptes utilisateurs dans Active Directory
4. La centralisation de l'authentification des clients d'accès distant grâce au serveur IAS
- présentation et installation d'IAS
- configuration d'IAS
- configuration du serveur d'accès distant pour utiliser IAS
5. Configuration des clients d'accès à distance et sécurisation de l'accès à distance
- présentation du réseau privé virtuel (VPN)
- configurer une connexion VPN sous Windows XP
- Sécuriser les accès distants
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
L'accès distant sous Windows 2003 Server
