Configuration d’IIS en mode “Authentification Intégrée” pour un accès transparent depuis plusieurs domaines qui s’approuvent (forêts différentes)

Salut à tous

J’ai récemment été confronté à un problème de configuration d’IIS / Internet Explorer assez complexe.

ARCHITECTURE CLIENT :
* Une forêt Active Directory avec un mono-domaine (WEB.LOCAL) géré par des contrôleurs de domaine Windows 2003 (en mode natif 2003).
* Une forêt Active Directory avec un domaine géré (PROD.LAN) par des contrôleurs de domaine Windows 2008 (en mode natif 2008).
* Une relation d’approbation inter-forêt entre les forêts WEB.LOCAL et PROD.LAN (on est en mode natif 2003 ou ultérieur dans les deux forêts donc on peut créer des relations d’approbations inter-forêt).
* Un serveur web IIS Windows 2003 Server membre du domaine WEB.LOCAL. Ce serveur joue le rôle de serveur Intranet et était configuré en mode “Authentification Intégrée” (protocole Kerberos ou NTLM).
* Des stations de travail Windows XP Pro SP2 avec Internet Explorer 7 membres du domaine WEB.LOCAL.
* Des stations de travail Windows XP Pro SP2 avec Internet Explorer 7 membres du domaine PROD.LAN

OBJECTIF :
Mon client souhaitait que les utilisateurs se connectent de manière transparente (sans avoir à resaisir leur login / mot de passe) pour se connecter au serveur Intranet. Cela est possible avec le mode “Authentification Intégrée” d’IIS.

DESCRIPTION DU PROBLEME :
* L’accès au site web se faisait de manière transparente depuis les stations de travail Windows XP Pro du domaine WEB.LOCAL avec des comptes utilisateurs du domaine WEB.LOCAL.
* Avec des stations de travail Windows XP Pro du domaine PROD.LAN, un POPUP d’authentification apparaissait. Il était alors nécessaire de resaisir le login / mot de passe de l’utilisateur. Avec un compte utilisateur du domaine WEB.LOCAL, l’accès était alors possible. Avec un compte du domaine PROD.LAN, l’authentification échouait (après 3 tentatives) et on avait alors un message “Accès Refusé”.

EXPLICATION GENERALE DU PROBLEME :
En fait il y avait deux problèmes :
* Un problème de droits au niveau d’IIS.
* Un problème de POPUP d’authentification dans Internet Explorer.

ZOOM SUR LE PROBLEME DE DROITS AU NIVEAU D’IIS :
Par défaut (si l’on a pas activé l’authentification sélective au niveau de la relation d’approbation inter-forêt), un compte utilisateur du domaine WEB.LOCAL a un niveau d’accès “Utilisateurs authentifiés” dans le domaine PROD.LAN et inversement (la relation d’approbation est bidirectionnelle).
Il est donc nécessaire de donner les droits d’accès suffisants pour que les utilisateurs du domaine PROD.LAN puissent accéder au site web.
Pour cela :
On peut créer un groupe local de domaine dans le domaine WEB.LOCAL et ajouter dans ce groupe les utilisateurs du domaine WEB.LOCAL puis faire un clic droit sur le site web en question dans le “Gestionnaire de Services Internet” et sélectionner “Autorisation”. Il faut ensuite ajouter le groupe et lui donner les droits nécessaires.
Cette solution permet de corriger le problème “Accès Refusé”. On a toujours le problème de POPUP d’authentification alors qu’on est en mode “Authentification intégrée” quand on se connecte depuis une machine du domaine PROD.LAN.

ZOOM SUR LE PROBLEME DE POPUP D’AUTHENTIFICATION
Ce problème est du en fait à une mauvaise configuration d’Internet Explorer.
En effet l’authentification transparente via le mode “Authentification Intégrée” nécessite que :
* L’authentification Intégrée soit activée au niveau du site web IIS / du répertoire virtuelle.
* La station de travail et le serveur web doivent être dans le même domaine ou dans deux domaines différents mais qui s’approuvent.
* Internet Explorer doît considérer qu’il s’agit d’un site local (section Intranet). C’est la cause du problème !
  Si on utilise un nom NETBIOS comme URL (http://INTRANET1), c’est par défaut considéré comme un site web local.
  Si on saisit une adresse IP ou un nom DNS, le site web est considéré comme un site web public et les paramètres d’authentification ne sont pas transmis automatiquement pour des raisons évidente de sécurité.
Pour plus d’informations sur le fonctionnement du mode “Authentification Intégrée” d’IIS :
http://support.microsoft.com/kb/258063/en-us

Pour configurer un site web comme étant dans le réseau d’entreprise  (local / Intranet), il faut aller dans “Outils | Options Internet”, cliquer sur l’onglet “Sécurité”, sélectionner “Intranet Local”, cliquer sur “Sites” puis sur le bouton “Avancé”. Saisir ensuite l’URL.
Pour configurer un site web local dans Internet Explorer 6 et antérieur :
http://support.microsoft.com/kb/174360/EN-US/

POUR PLUS D’INFORMATIONS :
Je vous préconise aussi la lecture de ces articles Microsoft qui permettent de mieux comprendre ce qu’est exactement le mode “Authentification Intégrée”.
http://support.microsoft.com/kb/215383/en-us
http://support.microsoft.com/kb/969060/en-us
http://support.microsoft.com/kb/968867/en-us
http://support.microsoft.com/kb/324274/en-us

A+

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Active Directory, IIS, Internet Explorer, Windows 2003 Server, Windows Server 2008, Windows XP, avec comme mot(s)-clé(s) , , , . Vous pouvez le mettre en favoris avec ce permalien.

Une réponse à Configuration d’IIS en mode “Authentification Intégrée” pour un accès transparent depuis plusieurs domaines qui s’approuvent (forêts différentes)

  1. MICHEL dit :

    Un très grand merci d’avoir partagé.

Laisser un commentaire