Configurer le contrôleur de domaine Active Directory

  1. Sur le serveur, vérifiez la disponibilité des binaires nécessaires à la configuration du contrôleur de domaine :
    • reg.exe pour manipuler la base de registre du serveur,
    • setspn.exe pour définir le nom de service dans l’annuaire Active Directory,
    • ktpass.exe pour récupérer la clé de chiffrement (keytab),
    • ldifde.exe pour interroger la base LDAP.

    En cas contraire, récupérez-les et enregistrez-les dans un répertoire commun qui devra, si nécessaire, être ajouté à variable d’environnement PATH (exemple : C:\SPNEGO\).

  2. Récupérez le script spnego.bat v1.7 en vous connectant à l'espace personnel MyStormshield (authentification requise), menu Téléchargements > Téléchargements > Stormshield Network Security > TOOLS. Enregistrez le script dans le même répertoire que celui où se trouve les binaires de l'étape 1.
  3. Dans l’invite de commande, placez-vous dans le répertoire contenant le script spnego.bat (les fichiers générés par le script seront ajoutés dans le répertoire courant).
  4. Lancez le script spnego.bat à l'aide de la commande :

    Spnego.bat <FW> <dns> <AD_Domain> <password> <fichier>

<FW> Représente le nom du firewall sur lequel vous configurez SPNEGO. Ce nom est identique à l’entrée effectuée dans le serveur DNS. Nous vous recommandons de renseigner ce paramètre en MAJUSCULES.
<dns> Représente le nom de domaine DNS (dans la configuration du serveur DNS, le nom de domaine DNS serait stormshield.com). Ce paramètre DOIT être renseigné en MINUSCULES.
<AD_Domain> Représente le nom de domaine Active Directory pris en charge par le contrôleur de domaine. Dans la très grande majorité des cas, ce nom de domaine Active Directory est identique au nom de domaine DNS. Ce paramètre DOIT être renseigné en MAJUSCULES.
<password> Représente le mot de passe que vous choisissez et qui sera utilisé pour l’utilisateur <FW>  créé et le service SPNEGO. Ce mot de passe NE DOIT PAS comporter plus de 14 caractères.
<fichier> Représente un nom de fichier que vous choisissez. Ce fichier contient une clé de chiffrement à installer lors de la configuration du firewall.
  1. Enregistrez les informations indiquées à la fin de l'exécution du script spnego.bat. Elles sont également disponibles dans le fichier log stocké dans le même répertoire que le script.

    values to insert in the manager
    SPN=HTTP/<FW>.<dns>
    DOMAIN=<AD_Domain>
    FILE=<fichier>

    • SPN représente le nom du service principal de la configuration SPNEGO (exemple : HTTP/SN710A000099999999.stormshield.com).
    • DOMAIN représente le nom de domaine Microsoft Active Directory de la configuration SPNEGO (exemple : STORMSHIELD.COM).
  2. Activez la prise en charge du chiffrement AES 256 bits via Kerberos dans les propriétés du compte du firewall nouvellement créé sur l'Active Directory, onglet Compte, zone Options de compte.