Contrats de connexion et authentification

de la souris sur le CA dans la console ADC Manager, sélectionnez Properties, puis cliquez sur l’onglet Connections et entrez les informations d’identification, comme l’illustre la figure 1.

Les comptes utilisés pour accéder aux services d’annuaire doivent disposer des autorisations de lecture ou d’écriture aux conteneurs du Service Annuaire Exchange 5.5 ou aux unités d’organisation d’Active Directory que vous spécifiez. Il n’est pas conseillé d’employer un compte Administrateur car celui-ci peut servir pour différentes finalités et possède généralement des restrictions qui vous empêchent de déterminer facilement la cause d’éventuels problèmes. Par ailleurs, l’utilisation de ce compte constitue une violation du principe des « privilèges les plus restreints ». En effet, il dispose de plus de privilèges que nécessaire pour l’accès aux services d’annuaire. Concernant les tâches d’authentification, vous devez employer un compte dédié tel que le Compte de services du site (Site Services Account) lors de la connexion au Service Annuaire Exchange 5.5, ou un compte tel que ADCService pour Exchange 2003 lors de l’utilisation du Connecteur Active Directory.

ADC stocke les informations d’identification relatives aux comptes qu’il utilise pour accéder à Active Directory et au Service Annuaire Exchange 5.5 à l’emplacement Secrets globaux (Global Secrets) de l’autorité de sécurité locale (LSA, Local Security Authority). La LSA est un sous-système protégé du système d’exploitation et est représentée dans le Gestionnaire des tâches Windows (Windows Task Manager) par le processus lsass.exe, lequel s’exécute en mode utilisateur. La LSA stocke plusieurs types de secrets (par ex., local, global, machine). Les secrets locaux (local secrets) sont lisibles uniquement sur la machine qui les stocke, les secrets globaux sont répliqués entre contrôleurs de domaine et les secrets sont accessibles au seul système d’exploitation. Tous les types de secrets LSA sont stockés dans le conteneur HKEY_LOCAL_ MACHINE\ Security et sont cryptés au moyen d’une clé de cryptage spécifique au système.

Lorsque vous créez un nouveau contrat de connexion (CA), l’interface du programme de gestion d’ADC crée une demande d’appel de procédure à distance (RPC) au service ADC et demande au stockage les informations d’identification sur le serveur ADC local. Seul le service ADC peut lire le mot de passe associé aux informations d’identification stockées dans la LSA. L’interface du programme de gestion d’ADC ne peut pas lire le mot de passe. Par conséquent, vous devez ressaisir ce dernier si vous avez déplacé le CA ou modifié le conteneur source ou cible. Si vous employez le même ensemble d’informations d’identification pour plusieurs CA, la LSA économise l’espace en conservant un seul jeu d’informations d’identification. Cette approche permet également de gagner du temps si vous devez changer le mot de passe associé à un compte employé par le CA. Si un mot de passe est modifié sur un CA, il l’est pour tous les autres CA qui utilisent les mêmes informations d’identification.

Certaines autorisations sont nécessaires pour pouvoir écrire les informations d’identification de l’emplacement secrets globaux de la LSA. Lorsque vous définissez ces informations, l’interface du programme de gestion d’ADC vérifie que vous disposez d’un accès en écriture sur l’objet AD DC=nom domaine,CN=Configuration,CN=Sites,CN=Default-First- Site-Name,CN=Servers,CN=nom serveur,CN=Exchange Settings,CN=Active Directory Connector nom serveur, où nom domaine est le nom du domaine Windows et nom serveur, celui de l’ordinateur hébergeant ADC. Si un utilisateur dispose d’un accès en écriture sur cet objet, le Connecteur Active Directory l’autorise par défaut à définir les informations d’identification de CA. Vous pouvez définir des contrôles d’accès explicites sur cet objet afin d’affiner encore les utilisateurs autorisés.

Lorsque vous employez l’interface du programme de gestion d’ADC pour modifier des informations d’identification, un horodatage pour cette entrée LSA est mis à jour à l’heure courante. De même, lorsque le Connecteur Active Directory lit le mot de passe pendant la synchronisation et que l’horodatage a plus de 7 jours, ce dernier est actualisé à l’heure courante. La LSA dispose d’un espace limité : un système Windows 2003 peut stocker seulement 4096 secrets LSA. Par ailleurs, un serveur ADC alloue uniquement 64 Ko au service ADC. En cas d’espace insuffisant, Windows supprime les informations d’identification inutilisées les plus anciennes. De même, les informations d’identification stockées dans la LSA expirent dès que leur horodatage est plus ancien que la limite d’expiration en vigueur. Celle-ci dépend du nombre d’informations d’identification stockées, comme le montre le tableau 1.

Lorsque vous créez un CA et que vous définissez le planning de réplication sur Jamais (Never), puis une réplication forcée au bout de 181 jours, la tentative de réplication échouera (en supposant que l’espace disponible de la LSA n’a pas déjà été épuisé, auquel cas le nombre de jours sera peut-être inférieur à 181 jours). Pour contrôler le nombre minimum de jours de conservation des informations d’identification dans la LSA, modifiez l’entrée de Registre HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\MSA DC\Parameters. Définissez Password Expiration comme nom de la valeur, REG_DWORD comme type de celle-ci et le nombre minimum de jours de conservation des informations d’identification dans la LSA comme données de la valeur.
Bien que le nombre de mots de passe stockés dans le cache de la LSA détermine les paramètres d’expiration, les informations d’identification peuvent expirer plus tôt que spécifié si vous épuisez l’espace disponible du cache. Si vous définissez un planning de réplication de CA sur Toujours (Always) ou Horaires sélectionnés (Selected Times), le planning n’expirera jamais car l’horodatage sera actualisé à chaque synchronisation de CA.