Active Directory et la problématique sécuritaire du mot de passe

Quel va être l’annuaire qui fera office de référentiel pour la gestion du mot de passe ? […] Il est, en effet, illusoire d’imaginer qu’un utilisateur puisse retenir et gérer une dizaine de mots de passe complexes, cela se soldera irrémédiablement par la mise en œuvre du syndrome du « post-it » qui va bien évidement à l’encontre d’une politique de sécurité intelligente. Pire encore, cela pourrait surcharger les appels au service support de l’entreprise.

Il convient donc de bien réfléchir à un projet d’unification des mots de passe. FIM apporte une solution à ces différentes questions en proposant un module de synchronisation de mot de passe.

Pour cela, il est nécessaire d’installer le module complémentaire Password Change Notification Service (PCNS) qui aura pour rôle de capturer l’action de « réinitialisation de mot de passe » depuis un contrôleur de domaine Active Directory afin de le propager sur les cibles identifiées (annuaire LDAP, base de données…). Le principe conceptuel étant le suivant :

• Réinitialisation du mot de passe suite à une action manuelle ou suite à une politique de stratégie de mot de passe (Password Settings Objects : PSO).

• Le nouveau de mot de passe est capturé dans la mémoire vive du contrôleur de domaine par PCNS avant qu’il soit « crypté » dans la base de données Active Directory.

• Une fois capturé, PCNS transmet le nouveau mot de passe au serveur FIM.

• FIM reçoit le nouveau de passe et le pousse sur les MAs/connecteurs ciblés (AD LDS, OpenLDAP, base de données Oracle…).

Le principal prérequis étant qu’il est nécessaire qu’Active Directory soit l’annuaire d’authentification de référence au sein du SI. Dès lors, le mot de passe qui sera synchronisé sera celui du compte Active Directory. L’avantage étant que l’on peut entièrement s’appuyer sur les stratégies de politique de mot de passe. Il est impératif de s’assurer que les annuaires cibles disposent d’une stratégie de mot de passe équivalente ou moins exigeante sous peine de ne pas pouvoir utiliser le nouveau mot de passe car il ne respectera pas « la norme sécuritaire ».

Au travers d’Active Directory, la politique de mot de passe se base principalement sur quatre éléments :

• Complexité du mot de passe.

• Age maximum du mot de passe.

• Age minimum du mot de passe.

• Historisation des mots de passe.

Au sein de la stratégie de groupe, le paramètre de sécurité « le mot de passe doit respecter des exigences de complexité » détermine si les mots de passe doivent suivre des caractéristiques sécuritaires bien précises.

Si ce paramètre est activé, les mots de passe doivent respecter les exigences minimales suivantes :

• Ne pas contenir tout ou partie du nom du compte de l’utilisateur.

• Avoir une longueur d’au moins 6 caractères.

• Contenir des caractères de trois des quatre catégories suivantes :

− Caractères majuscules de l’alphabet anglais (A à Z).
− Caractères minuscules de l’alphabet anglais (a à z).
− Chiffres de la base 10 (0 à 9).
− Caractères non alphabétiques (!, $, #, % etc).

Revenons sur PCNS et les enjeux de son implémentation. Premièrement, l’installation de PCNS est à réaliser sur tous les contrôleurs de domaine susceptibles d’effectuer des réinitialisations de mot de passe.

Vue d’ensemble de l’installation et de la configuration de PCNS (vous trouverez le lien vers le tutoriel complet en fin d’article) :

• Vérification des prérequis et ouverture des ports nécessaires.

− Configurer le ServicePrincipalName (SPN).
− Détails des droits :

− Ports à ouvrir :

• Etendre le schéma Active Directory.

Il est nécessaire de faire une extension de schéma pour utiliser PCNS. Afin de bien comprendre les enjeux de cette extension, je vous invite à parcourir ce lien à la session Extension de Schéma : http://www.it-channels.com/forefront-identitymanager/134-fim-installer-microsoft-password-change-notification-service-pcns.

• Installation de PCNS sur les différents contrôleurs de domaine qui réinitialiseront le mot de passe (la finalisation de l’installation de PCNS nécessite obligatoirement un redémarrage du serveur).

• Configuration de PCNS (ligne de commande).

Maintenant que le service PCNS est installé, il faut le configurer afin de lui indiquer le FQDN du serveur FIM ainsi que le groupe à inclure ou à exclure pour le service de synchronisation de mot de passe.

Décryptage de la ligne de commande :

pcnscfg.exe addTarget /N:FIMENGINE /A:srv-fimengine.main.consulting.com /S:PCNSCLNT/srv-fimengine.main.consulting.com /
FI:»Domain Users» /FE:»Domain Admins» /f:3

Dans le cas où vous disposez d’un second serveur FIM (moteur de synchronisation). Il sera nécessaire de réaliser cette action pour vos deux serveurs.

• Configurer le Metaverse FIM.

Il est nécessaire d’activer la fonctionnalité « Password Synchronization » au niveau du Metaverse FIM.

• Activer la synchronisation de mot de passe sur les Management Agent cibles (annuaires, base de données).

Il faut activer l’option Password Management sur chaque MA sur lequel le mot de passe sera synchronisé.

• Activer la synchronisation de mot de passe sur le management agent Active Directory Domain Services.

Pour finir, il faut activer l’option sur le MA AD DS source qui sera à l’origine de la réinitialisation de mot de passe. Outre le fait d’activer cette option, il faut également définir les MAs cibles où seront poussé le mot de passe. Dans mon exemple, je synchronise le mot de passe Active Directory dans mon annuaire AD LDS.

• Vérification de la synchronisation.

La dernière étape consiste à valider la bonne synchronisation du mot de passe. Pour cela nous réinitialisons le mot de passe d’un utilisateur Active Directory.
Nous pouvons ensuite vérifier le log depuis le journal événement du contrôleur de domaine afin de vérifier le bon fonctionnement de PCNS. Pour finir, nous nous connectons sur l’annuaire AD LDS (via l’exécutable ldp. exe par exemple) afin d’effectuer un BIND sur l’utilisateur pour lequel le mot de passe a été synchronisé. PCNS est maintenant installé est configuré. Vous pouvez bien entendu synchroniser les mots de passe sur différentes cibles simultanément (AD DS, AD LDS, Oracle, SQL Server etc).

Conclusion : un monde parfait … sans mot de passe !

Vous l’aurez compris, cela est impossible. L’objectif est de simplifier au maximum l’accès d’un utilisateur à son espace de travail (session Windows) ou encore aux connexions sur les différentes applications. PCNS permet de faciliter la gestion des mots de passe des utilisateurs en visant à réduire considérablement leur nombre. Il est important de garder à l’esprit que cela répond autant à une problématique technique que fonctionnelle.

Ainsi, la politique de gestion des différents mots de passe représente une réflexion essentielle du design et de la planification des infrastructures Active Directory. Disposer d’un système centralisé permettra un gain de temps considérable sur l’administration quotidienne des systèmes d’information sous Windows ou sur les environnements hétérogènes. C’est pourquoi il est primordial de bien identifier la problématique afin d’y apporter une solution pérenne qui peut être PCNS. En tant que complément idéal à la synchronisation des mots de passe, FIM dispose d’un module de réinitialisation de mot de passe en self-service. Dès lors, un utilisateur pourra gérer lui-même son mot de passe en s’appuyant sur la politique de sécurité interne de l’entreprise. Celui-ci sera alors géré pour les autres annuaires et applications.