> Tech > Configuration initiale

Configuration initiale

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Pour installer Virtual Server 2005 R2 Enterprise Edition, il faut d’abord le télécharger. (Voir l’encadré « Autres ressources », pour les informations de téléchargement ; l’enregistrement est nécessaire). Il faut aussi télécharger la documentation associée, dont le contenu est utile et important. Pensez à installer IIS avant Virtual Server. Double-cliquez

Configuration initiale

sur le fichier téléchargé (c’est-à-dire setup. exe) pour lancer le Virtual Server Setup Wizard, et suivez le processus d’installation, plutôt simple. L’assistant vous invitera à sélectionner le port sur lequel le site Web d’administration écoutera, et à configurer le site Web en mode Constrained Delegation. Normalement, le site Web d’administration fonctionnera dans le contexte de l’utilisateur qui s’y connecte. Dans cette configuration, tous les fichiers de ressources (comme les fichiers de configuration, les disques virtuels) doivent être sur DAS).

Si vous envisagez d’accéder aux fichiers de ressources sur un réseau – par exemple, s’ils sont stockés sur une unité NAS – vous devez configurer Constrained Delegation, et le site Web fonctionnera alors en tant que LocalSystem. Pour des raisons de sécurité, et pour améliorer la performance, il est bon de toujours stocker les fichiers localement. Par ailleurs, ne validez pas la délégation contrainte. Ne changez le port du site Web que pour une bonne raison. Le moment est venu de sécuriser l’installation. Lancez le site Web d’administration de Virtual Server en cliquant sur Start, All Programs, Microsoft Virtual Server, Virtual Server Administration Website. Si des références vous sont demandées, entrez celles d’un utilisateur qui soit membre du groupe Administrators local sur l’OS hôte ; faute de quoi, l’accès vous sera refusé. (Pour empêcher le système de vous demander des références chaque fois que vous accédez au site Web d’administration, vous pouvez ajouter l’URL au site intranet local dans Microsoft Internet Explorer – IE).

En bas de la page Web, un avertissement vous indique que Secure Sockets Layer (SSL) n’est pas validé pour le site. Vous devez avant toute chose obtenir un certificat SSL pour sécuriser le trafic échangé avec le site Web d’administration. Si vous vous servez de Microsoft Certificate Services, vous pouvez l’utiliser pour obtenir un SSL Certificate ; sinon, vous pouvez en obtenir un à partir d’une source tierce, comme Verisign (bien que cela soit plus coûteux). Ouvrez le snap-in MMC IIS et étendez le noeud Web Sites sous le nom du serveur Web. Vous trouverez un site Web nommé Virtual Server ; c’est le site pour lequel il vous faut demander un certificat SSL.

N’oubliez pas de sélectionner un port TCP libre pour la connexion SSL et de configurer le site Web pour l’utiliser. Je vous recommande aussi de configurer le site Virtual Server Web pour qu’il requière des connexions SSL. Une fois SSL configuré, il vous faudra penser à utiliser la nouvelle URL pour vous connecter au site Web, en spécifiant « HTTPS » au lieu de « HTTP » et à entrer le numéro de port SSL que le site utilise. Vous pouvez aussi créer un raccourci URL et le placer sur votre bureau. L’étape suivante consiste à configurer qui a accès au site Web d’administration. Par défaut, tout membre du groupe Administrators local a le droit d’administrer Virtual Server. Il vaut mieux ajouter manuellement les utilisateurs et groupes d’utilisateurs qui ont besoin de l’accès administratif, plutôt que de les ajouter simplement au groupe Administrators local. Pour accorder des autorisations aux utilisateurs, lancez le site Web d’administration, sélectionnez Server Properties dans le panneau de gauche du site Web, puis cliquez sur Virtual Server Security.

Vous pouvez utiliser le bouton Add entry pour ajouter des utilisateurs et des groupes, comme le montre la figure 1. Si vous ajoutez un utilisateur de domaine ou un groupe de domaines à la liste, votre entrée doit avoir la forme DOMAINNAME\ username ou DOMAINNAME\groupname. Chaque utilisateur ou groupe peut avoir plusieurs autorisations. Le Virtual Server Administrator’s Guide, que vous pouvez trouver dans le groupe de programmes Microsoft Virtual Server, détaille chaque autorisation. Comme son nom l’indique, Full octroie à un utilisateur ou à un groupe toutes les autorisations. En général, ne donnez aux utilisateurs que les autorisations strictement nécessaires pour accomplir leurs tâches. À noter que vous ne pouvez pas supprimer le groupe Administrators local, lequel bénéficie toujours d’un accès même si vous tentez de supprimer les autorisations. Il en découle que tout administrateur de domaine a accès au site Web d’administration de Virtual Server.

Si vous ne voulez pas que les administrateurs de domaines aient ce niveau d’accès, il vous faudra supprimer ce groupe du groupe Administrators local sur l’OS hôte. Il faut aussi sécuriser le serveur Virtual Machine Remote Control (VMRC). Pour cela, sélectionnez Server Properties dans le panneau de gauche du site Web, puis cliquez sur Virtual Machine Remote Control (VMRC) Server. La première option à configurer est la méthode d’authentification, comme on le voit dans la figure 2. L’authentification est généralement transparente pour l’utilisateur et elle a lieu entre le client VMRC et le serveur VMRC. Une fois authentifié, l’utilisateur est connecté à la console de la VM et il n’est pas automatiquement connecté à la VM elle-même. Pour l’authentification, trois choix sont proposés : Automatic, NTLM ou Kerberos. NTLM permet de s’authentifier à un serveur en toute sécurité, mais sans pouvoir vérifier si le serveur est un usurpateur. Kerberos permet l’authentification mutuelle.

Vous devez cocher la case Disconnect idle connection – c’est l’équivalent Virtual Server d’un économiseur d’écran. Cette option est validée par défaut et le timeout est de 15 minutes. Vous devez aussi valider SSL 3.0/TLS 1.0 encryption. Par défaut, la communication entre un client VMRC et un serveur VMRC est non cryptée. L’installation d’un certificat sécurisera cette communication. Virtual Server peut vous aider à élaborer une demande de certificat. Sélectionnez le bouton radio Request et remplissez les informations pertinentes dans la grille avant de cliquer sur OK. Aussitôt, une requête de certificat est générée comme le montre la figure 3 de la page XX. Vous pouvez couper et coller la requête et la soumettre à un CA. Vous pouvez recharger le certificat émis dans le serveur VMRC en cliquant sur Virtual Machine Remote Control (VMRC) dans le site Web d’administration et en sélectionnant Upload. Cette manoeuvre active le bouton Browse, qui vous permet de naviguer vers le fichier de certificats. Un nouveau clic sur OK charge le certificat dans le serveur VMRC.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010