Paramètres Kerberos Paramètres de configuration du protocole d’authentification Kerberos. Kerberos Utiliser l’ordre de recherche de la forêt Ce paramètre de stratégie définit la liste des forêts autorisées à approuver dans laquelle le client Kerberos effectue sa recherche lorsqu’il essaie de résoudre les noms de principaux du service en deux parties. Si vous activez ce paramètre de stratégie, le client Kerberos effectue sa recherche dans les forêts de cette liste, s’il ne parvient pas à résoudre un nom de principal du service en deux parties. S’il trouve une correspondance, le client Kerberos demande un ticket de référence au domaine approprié. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos n’effectue pas sa recherche dans la liste des forêts répertoriées pour résoudre le nom de principal du service. Si le client Kerberos ne parvient pas à résoudre le nom de principal du service, car il est introuvable, l’authentification NTLM peut être utilisée. Définir les mappages de noms d’hôtes à un domaine Kerberos Ce paramètre de stratégie permet de spécifier les noms d’hôtes DNS et les suffixes DNS mappés à un domaine Kerberos. Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des noms d’hôtes DNS et des suffixes DNS mappés à un domaine Kerberos, conformément à la définition de la stratégie de groupe. Pour afficher la liste des mappages, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un mappage, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu, dans la colonne Valeur, tapez le nom d’un domaine. Dans la colonne Valeur, tapez la liste des noms d’hôtes DNS et des suffixes DNS en respectant la syntaxe appropriée. Pour supprimer un mappage de la liste, cliquez sur l’entrée à supprimer, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez l’entrée actuelle de la liste, puis ajoutez-en une avec d’autres paramètres. Si vous désactivez ce paramètre de stratégie, la liste des mappages de noms d’hôtes au domaine Kerberos, définie par la stratégie de groupe, est supprimée. Si vous ne configurez pas ce paramètre de stratégie, le système utilise les mappages de noms d’hôtes au domaine Kerberos qui sont définis dans le Registre local, s’ils existent. Définir les paramètres des domaines interopérables Kerberos V5 Ce paramètre de stratégie configure le client Kerberos pour qu’il puisse s’authentifier à des domaines interopérables Kerberos V5, tel que défini par ce paramètre de stratégie. Si vous activez ce paramètre de stratégie, vous pourrez afficher et modifier la liste des domaines interopérables Kerberos V5 et leurs paramètres. Pour afficher la liste des domaines interopérables Kerberos V5, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un domaine interopérable Kerberos V5, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur le bouton Afficher. Dans la boîte de dialogue Afficher le contenu, dans la colonne Nom de valeur, tapez le nom du domaine interopérable Kerberos V5. Dans la colonne Valeur, tapez les indicateurs de domaine et les noms d’hôtes des contrôleurs de domaine Kerberos (KDC) hôtes en respectant la syntaxe appropriée. Pour supprimer une entrée Nom de valeur ou Valeur du domaine interopérable Kerberos V5, cliquez sur son entrée, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez l’entrée actuelle de la liste, puis ajoutez-en une avec d’autres paramètres. Si vous désactivez ce paramètre de stratégie, les paramètres des domaines interopérables Kerberos V5 définis par la stratégie de groupe sont supprimés. Si vous ne configurez pas ce paramètre de stratégie, le système utilise les paramètres des domaines interopérables Kerberos V5 qui sont définis dans le Registre local, s’ils existent. Exiger une validation KDC stricte Ce paramètre de stratégie contrôle le comportement du client Kerberos durant la validation du certificat KDC pour l’ouverture de session à partir d’une carte à puce et d’un certificat système. Si vous activez ce paramètre de stratégie, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) contienne l’identificateur d’objet du rôle de clé dans les extensions d’utilisation améliorée de la clé et que le certificat X.509 du contrôleur de domaine Kerberos contienne une extension dNSName subjectAltName (SAN) qui correspond au nom DNS du domaine. Si l’ordinateur est membre d’un domaine, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) soit signé par une autorité de certification du magasin NTAuth. Si l’ordinateur n’est pas membre d’un domaine, le client Kerberos permet l’utilisation du certificat de l’AC racine sur la carte à puce dans la validation de chemin d’accès du certificat X.509 du KDC. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos exige seulement que le certificat KDC contienne l’identificateur d’objet du rôle de l’authentification du serveur dans les extensions d’utilisation améliorée de la clé qui peuvent être émises pour un serveur. Exiger une correspondance stricte des noms de principaux du service cibles dans les appels de procédure distante Ce paramètre de stratégie vous permet de configurer ce serveur de sorte que Kerberos puisse déchiffrer un ticket contenant le nom de principal du service généré par le système. Lorsqu’une application essaie d’effectuer un appel de procédure distante vers ce serveur avec une valeur NULL en tant que nom de principal du service, les ordinateurs exécutant Windows 7 essaient d’utiliser Kerberos en générant un nom de principal du service. Si vous activez ce paramètre de stratégie, seuls les services s’exécutant en tant que LocalSystem ou NetworkService sont autorisés à accepter ces connexions. Les services qui s’exécutent avec une autre identité que LocalSystem ou NetworkService peuvent ne pas être authentifiés. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, tous les services sont autorisés à accepter les connexions entrantes en utilisant le nom de principal du service généré par le système. Spécifier les serveurs proxy KDC pour les clients Kerberos Ce paramètre de stratégie configure le mappage du client Kerberos aux serveurs proxy KDC pour les domaines d’après leur nom de suffixe DNS. Si vous activez ce paramètre de stratégie, le client Kerberos utilise le serveur proxy KDC pour un domaine s’il est impossible de déterminer l’emplacement d’un contrôleur de domaine d’après les mappages configurés. Pour mapper un serveur proxy KDC à un domaine, activez le paramètre de stratégie, cliquez sur Afficher, puis mappez le ou les noms de serveurs proxy KDC au nom DNS pour le domaine à l’aide de la syntaxe décrite dans le volet des options. Dans la boîte de dialogue Afficher le contenu, puis dans la colonne Valeur, tapez le nom d’un suffixe DNS. Dans la colonne Valeur, tapez la liste des serveurs proxy en respectant la syntaxe appropriée. Pour afficher la liste des mappages, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour supprimer un mappage de la liste, cliquez sur l’entrée à supprimer, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez l’entrée actuelle de la liste, puis ajoutez-en une avec d’autres paramètres. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos ne dispose pas des paramètres des serveurs proxy KDC définis par la stratégie de groupe. Désactiver la vérification de la révocation pour le certificat SSL des serveurs proxy KDC Ce paramètre de stratégie vous permet de désactiver la vérification de la révocation pour le certificat SSL du serveur proxy KDC ciblé. Si vous activez ce paramètre de stratégie, la vérification de la révocation du certificat SSL du serveur proxy KDC est ignorée par le client Kerberos. Ce paramètre de stratégie ne doit être utilisé que pour résoudre les problèmes liés aux connexions des serveurs proxy KDC. Avertissement : lorsque la vérification de la révocation est ignorée, le serveur représenté par le certificat n’est pas considéré comme valide de façon sûre. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos applique la vérification de la révocation du certificat SSL. La connexion au serveur proxy KDC n’est pas établie en cas d’échec de la vérification de la révocation. Faire échouer les demandes d’authentification lorsque le blindage Kerberos n’est pas disponible Ce paramètre de stratégie détermine si un ordinateur exige que les échanges de messages Kerberos soient blindés durant la communication avec un contrôleur de domaine. Avertissement : lorsqu’un domaine ne prend pas en charge le blindage Kerberos à travers le paramètre de stratégie « Prendre en charge le contrôle d’accès dynamique et le blindage Kerberos », toutes les authentifications de ses utilisateurs échouent à partir des ordinateurs où ce paramètre de stratégie est activé. Si vous activez ce paramètre de stratégie, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos uniquement durant les échanges de messages du service d’authentification (AS) et du service d’accord de tickets (TGS) avec les contrôleurs de domaine. Remarque : la stratégie de groupe Kerberos Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos doit également être activée pour prendre en charge le blindage Kerberos. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos lorsque cela est possible, en fonction de la prise en charge par le domaine cible. Prendre en charge l’authentification composée Ce paramètre de stratégie contrôle la configuration du compte Active Directory du périphérique pour l’authentification composée. La prise en charge de l’authentification composée qui permet le contrôle d’accès nécessite qu’un nombre suffisant de contrôleurs de domaine prennent en charge les demandes dans les domaines de comptes de ressources. L’administrateur de domaine doit configurer la stratégie « Prendre en charge le contrôle d’accès dynamique et le blindage Kerberos » sur tous les contrôleurs de domaine pour permettre la prise en charge de cette stratégie. Si vous activez ce paramètre de stratégie, le compte Active Directory du périphérique est alors configuré pour l’authentification composée à l’aide des options suivantes : Jamais : l’authentification composée n’est jamais fournie pour ce compte d’ordinateur. Automatique : l’authentification composée est assurée pour ce compte d’ordinateur lorsqu’une ou plusieurs applications sont configurées pour le contrôle d’accès dynamique. Toujours : l’authentification composée est toujours fournie pour ce compte d’ordinateur. Si vous désactivez ce paramètre de stratégie, l’option Jamais est utilisée. Si vous ne configurez pas ce paramètre de stratégie, l’option Automatique est utilisée. Jamais Automatique Toujours Définir la taille maximale de la mémoire tampon des jetons de contexte SSPI Kerberos Ce paramètre de stratégie vous permet de définir la valeur retournée aux applications qui demandent la limite maximale de la taille de la mémoire tampon pour les jetons de contexte SSPI. La taille de la mémoire tampon des jetons de contexte détermine la taille maximale des jetons de contexte SSPI qu’une application doit prévoir et allouer. Selon le traitement des demandes d’authentification et selon les appartenances aux groupes, la mémoire tampon peut être plus petite que la taille réelle des jetons de contexte SSPI. Si vous activez ce paramètre de stratégie, le client ou le serveur Kerberos utilise soit la valeur configurée, soit la valeur maximale autorisée localement, en fonction de celle qui est la plus faible. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client ou le serveur Kerberos utilise la valeur configurée localement ou la valeur par défaut. Remarque : ce paramètre de stratégie configure la valeur de Registre existante MaxTokenSize dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, ajoutée à Windows XP et Windows Server 2003 avec une valeur par défaut de 12 000 octets. À partir de Windows 8, la valeur par défaut est de 48 000 octets. En raison de l’encodage base64 du protocole HTTP pour les jetons de contexte d’authentification, il est déconseillé de définir cette valeur au-delà de 48 000 octets. Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos Ce paramètre de stratégie détermine si un périphérique demande des revendications et l’authentification composée pour le contrôle d’accès dynamique et le blindage Kerberos à l’aide de l’authentification Kerberos auprès des domaines qui prennent en charge ces fonctionnalités. Si vous activez ce paramètre de stratégie, les ordinateurs clients demandent des revendications, fournissent les informations nécessaires pour créer l’authentification composée et blinder les messages Kerberos dans les domaines qui prennent en charge les revendications et l’authentification composée pour le contrôle d’accès dynamique et le blindage Kerberos. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les périphériques clients ne demandent pas de revendications, ne fournissent pas les informations nécessaires pour créer l’authentification composée et ne blindent pas les messages Kerberos. Les services hébergés sur le périphérique ne sont alors pas en mesure de récupérer les revendications des clients qui utilisent la transition du protocole Kerberos. Toujours envoyer l’authentification composée en premier Ce paramètre de stratégie détermine si un périphérique envoie toujours une demande d’authentification composée quand le domaine de ressource demande l’identité composée. Remarque : pour qu’un contrôleur de domaine demande l’authentification composée, les stratégies « Prise en charge du contrôleur de domaine Kerberos pour les revendications, l’authentification composée et le blindage Kerberos » et « Demander l’authentification composée » doivent être configurées et activées dans le domaine du compte de ressource. Si vous activez ce paramètre de stratégie et que le domaine de ressource demande l’authentification composée, les périphériques qui prennent en charge l’authentification composée envoient toujours une demande d’authentification composée. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas et que le domaine de ressource demande l’authentification composée, les périphériques envoient d’abord une demande d’authentification non composée, puis une demande d’authentification composée quand le service demande l’authentification composée. Définir les mappages de noms d’hôtes à un domaine : Syntaxe : Entrez le nom du domaine Kerberos en tant que Nom de valeur. Entrez les noms d’hôtes et les suffixes DNS à mapper au domaine Kerberos en tant que Valeur. Pour ajouter plusieurs noms, séparez les entrées par des points-virgules « ; ». Remarque : pour spécifier un suffixe DNS, faites précéder l’entrée par un point « . ». Pour l’entrée d’un nom d’hôte, ne spécifiez pas de point « . » au début. Exemple : Nom de valeur : MICROSOFT.COM Valeur : .microsoft.com; .ms.com; ordinateur1.fabrikam.com; Dans l’exemple ci-dessus. Tous les principaux comportant le suffixe DNS *.microsoft.com ou *.ms.com seront mappés au domaine Kerberos MICROSOFT.COM. En outre, le nom d’hôte ordinateur1.fabrikam.com est également mappé au domaine Kerberos MICROSOFT.COM. Définir les paramètres des domaines interopérables Kerberos V5 : Syntaxe : Entrez le nom du domaine interopérable Kerberos V5 en tant que Nom de valeur. Entrez les indicateurs de domaine et les noms d’hôtes des contrôleurs de domaine Kerberos (KDC) en tant que Valeur. Placez les indicateurs de domaine entre les balises <f> </f>. Placez la liste des contrôleurs de domaine Kerberos entre les balises<k> </k>. Pour ajouter plusieurs noms de contrôleurs de domaine Kerberos, séparez les entrées par un point-virgule « ; ». Exemple : Nom de valeur : TEST.COM Valeur : <f>0x00000004</f><k>kdc1.test.com; kdc2.test.com</k> Autre exemple : Nom de valeur : REALM.FABRIKAM.COM Valeur : <f>0x0000000E</f> Mode : Forêts dans lesquelles effectuer la recherche Syntaxe : Entrez la liste des forêts dans lesquelles effectuer la recherche lorsque ce paramètre de stratégie est activé. Utilisez le format de nom de domaine complet. Séparez les entrées à rechercher par des points-virgules (;). Détails : Il n’est pas nécessaire de répertorier la forêt actuelle, car l’ordre de recherche de la forêt utilise d’abord le catalogue global, puis effectue la recherche dans l’ordre de la liste. Il n’est pas nécessaire de répertorier séparément tous les domaines de la forêt. Si une forêt autorisée à approuver est répertoriée, la recherche est effectuée sur tous les domaines de cette forêt. Pour de meilleures performances, répertoriez les forêts dans l’ordre de probabilité de réussite. Définir les paramètres des serveurs proxy KDC : Syntaxe : Entrez le nom de suffixe DNS en tant que Nom de valeur. Le nom de suffixe DNS autorise trois formats selon l’ordre de préférence suivant : Correspondance complète : host.contoso.com Correspondance du suffixe : .contoso.com Correspondance par défaut : * Entrez les noms de serveurs proxy en tant que Valeur. Les noms de serveurs proxy doivent être placés dans les balises <https /> Pour ajouter plusieurs noms de serveurs proxy, séparez les entrées par un espace ou une virgule « , » Exemple : Nom de valeur : .contoso.com Valeur : <https proxy1.contoso.com proxy2.contoso.com /> Autre exemple : Nom de valeur : * Valeur : <https proxy.contoso.com /> Prendre en charge l’autorisation à l’aide des informations du périphérique client : Taille maximale