Utiliser le proxy KDC Devolutions Gateway

La connexion à distance avec des systèmes utilisant des jetons Kerberos est un défi sans ligne de vue directe. Un proxy Kerberos KDC (Key Distribution Controller) offre une méthode pour qu'un client communique avec un serveur intermédiaire, Devolutions Gateway dans cet exemple, qui transmet la requête de jeton à un autre KDC, qui se trouve sur le contrôleur de domaine.

Comme Devolutions Gateway est un remplacement léger de VPN juste-à-temps sécurisé, c'est une excellente option pour agir en tant que proxy KDC pour les connexions RDP à distance. Devolutions Gateway offre deux options : jetons de courte durée et de longue durée.

Activer l'accrochage d'API pour RDP

L'accrochage d'API RDP Microsoft doit être activé dans Remote Desktop Manager (activé par défaut) pour les connexions Devolutions Gateway. Cela permet une utilisation continue lorsqu'une dégradation NTLM se produit.

Make sure RDP API hooking is enabled in File – Settings – Entry types – Sessions – Remote Desktop (RDP)
Make sure RDP API hooking is enabled in File – Settings – Entry types – Sessions – Remote Desktop (RDP)

Configurer le proxy KDC avec des jetons de courte durée

Lors de l'utilisation d'un proxy KDC, le défaut recommandé est des jetons de courte durée injectés dynamiquement par le Devolutions Gateway. Ces jetons sont utilisés dans RDP via NLA (Authenitification Réseau) et par les sessions basées sur le Web Devolutions, telles que WinRM, Ldap et LAPS. Les jetons Kerberos typiques sont limités par défaut à 10 heures.

  1. Dans Devolutions Server, aller à AdministrationModulesDevolutions Gateway. Puis, cliquer sur le bouton Modifier (icône en forme de stylo) sur l'instance Devolutions Gateway souhaitée.

    In Devolutions server, edit the desired Devolutions Gateway instance
    In Devolutions server, edit the desired Devolutions Gateway instance
  2. Dans la section proxy KDC, cliquer sur le bouton Ajouter (icône en forme de croix). Plusieurs serveurs KDC peuvent être ajoutés,

    Add a new KDC proxy
    Add a new KDC proxy

    La connexion est jumelée en fonction du suffixe, par exemple, avec deux domaines de serveur nommés, respectivement, ad.it-help.ninja et ad.contoso.com, machine.ad.it-help.ninja utilisera automatiquement le premier suffixe, tandis que machine.ad.contoso.com utilisera le second.

  3. Remplir les champs URL du serveur KDC et royaume Kerberos. Cocher Définir comme par défaut pour que toutes les connexions utilisent l'URL du serveur KDC. Sinon, seuls les royaumes jumelés seront utilisés. Cliquer sur Sauvegarder.

    Fill out the KDC server URL fields
    Fill out the KDC server URL fields
  4. De retour dans la fenêtre d'édition Devolutions Gateway, aller à la section Avancé et s'assurer que l'option Forcer l'utilisation de l'adresse IP pour les connexions RDP est décochée. Cliquer sur Sauvegarder pour compléter la configuration.

    Uncheck the Force using IP address for RDP connections option
    Uncheck the Force using IP address for RDP connections option

Configurer le proxy KDC avec des jetons de longue durée

Des jetons spécifiques peuvent être créés pour vivre pendant 1, 3 et 6 mois ou une année complète. Typiquement, ces jetons de longue durée seraient seulement créés pour ensuite être installés à l'échelle du système et utilisés pour des cas exceptionnels où le Devolutions Gateway ne peut pas injecter dynamiquement un jeton de courte durée.

  1. Dans Devolutions Server, aller à AdministrationModulesDevolutions Gateway, et cliquer sur le bouton Plus (icône en forme de points de suspension vertical). Sélectionner proxy KDC.

    Open the KDC proxy tokens configuration window
    Open the KDC proxy tokens configuration window
  2. Cliquer sur le bouton Ajouter (icône en forme de croix).

    Add a new KDC proxy long-lived token
    Add a new KDC proxy long-lived token
  3. Remplir les champs URL du serveur KDC et royaume Kerberos, et déterminer la durée de vie du jeton. Cliquer sur Ajouter.

    Fill out the KDC proxy token fields
    Fill out the KDC proxy token fields
  4. Une fois ajouté, télécharger soit un script PowerShell soit un fichier de registre pour ajouter le jeton au registre de la machine cible. Le fichier de registre et le fichier PowerShell effectuent la même chose, mais le fichier PowerShell permet également de s'exécuter avec le paramètre -Uninstall pour désinstaller, si nécessaire.

    Download PowerShell scrit or registry file
    Download PowerShell scrit or registry file

Entrées de registre pour proxy KDC

Les deux scripts configurent plusieurs clés et valeurs de registre :

  • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos

  • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

  • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers

Ici, le jeton qui a été généré sera mis avec les clés de :

  • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxyServer_Enabled = 1

  • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers\{realm name} = Valeur de Jeton

Pour supprimer la configuration KDC du registre, modifier soigneusement l'Éditeur du Registre Windows ou lancer le script PowerShell précédemment utilisé en utilisant le paramètre -Uninstall.

Groupe d'Utilisateurs Protégés Active Directory

Ajouter des utilisateurs au groupe Utilisateurs Protégés dans Active Directory désactive NTLM, cassant souvent RDP pour les sessions à distance. Devolutions Gateway corrige cela en agissant en tant que proxy KDC, permettant l'authentification Kerberos même sans accès direct au contrôleur de domaine. Dans les fenêtres de Remote Desktop Manager, l'accrochage d'API RDP doit être activé pour supporter les jetons Kerberos de courte durée et restaurer la fonction RDP en toute sécurité.

Voir aussi

Devolutions Forum logo Donnez-nous vos commentaires