IIS et AD pour l'authentication

Le
Jussieu.fr
Bonjour,



Voici mon scenario, j'ai trois servers IIS avec LB hardware et une
application WEB qui tourne dessus. Pour l'Authentication, avant la solution
LB, j'avais un seul serveur IIS avec tous mes users créés en local.
Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec
AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine.
Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de mettre
son DC sur le même segment que les IIS serveurs



Et les dangers de mettre les serveurs IIS dans le domaine ?



Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS,
quand je mets Windows Authentication, n'acceptent pas mes credentials du
domaine (c'est normal car je ne suis pas dans le domaine).

Comment puis-je faire, je suis complètement perdu et j'ai du mal à trouver
une documentation qui expliquerait l'architecture et le setup à mettre en
place.



Merci beaucoup pour votre aide,



C.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Marc Lognoul [MVP]
Le #20348661
Bonjour,

Voici mon scenario, j'ai trois servers IIS avec LB hardware et une
application WEB qui tourne dessus. Pour l'Authentication, avant la
solution LB, j'avais un seul serveur IIS avec tous mes users créés en
local.


Cela reste possible avec plusieurs serveurs IIS hors domaine mais il faut
impérativement les même comptes, mot de passe identiques y compris. Si vous
maitrisez cela, pas de problème pour laisser les IIS dans un workgroup

Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec
AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine.
Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de
mettre son DC sur le même segment que les IIS serveurs...



Et les dangers de mettre les serveurs IIS dans le domaine ?


Aucun danger pour les IIS eux-même évidemment.
En ce qui concerne les "dangers" pour le domain et les ordinateurs membres,
c'est un sujet sur lequel on peut disserter avec tous les geeks de la
planète et n'arriver à aucune conclusion pratique ;)
Un domaine, c'est avant tout un moyen pour sécurisé une infrastrcture, donc
de ce point de vue là, il est préférable que les IIS en soient membres. Cela
vous permettra de gérer toute une série d'aspects de la sécurité de manière
centralisée et avec un niveau de sécurité globalement plus élevé qu'en
workgroup.
MAIS une fois un DC compromis, c'est tout le reste qui l'est
potentiellement!
Deplus, tout dépend également de ce que vous mettez dans ce domaine:
messagerie, infos financière ou autres... Si vous y placeez des information
sensibles et ensuite que vous utilisez ce même domaine pour héberger des
applications Internet... c'est une porte grande ouverte sur votre infra et
vos données.

Que se passera-t-il si un IIS membre d'un domain est compromis: cela dépend.
Si celui ci est suffisament sécurisé, l'impact sera réel mais réduit: en
gros, l'attacker recevra au moins une vue en lecture seul sur votre domaine
et sur certaines ressources.
Si le serveur IIS tourne un service avec un compte membre du groupe "domain
admin", ce sera évidemment potientiellement plus grave...

En conclusion, personnellement, je dédierais cet AD à votre application et
j'éviterais donc d'ouvrir la porte vers d'autres applications qui n'ont rien
à faire sur Internet.

Concernant la question du même segment ou pas, là aussi, toutes les
interprétations sont possibles.. Si vous devez ouvrir un firewall pour
laisser un serveur membre parler avec son domaine, ce sera vite du
gruyère... MAIS c'est toujours mieux que rien évidemment.

A vous de faire le calcul risk, complexité, cout... bénéfices...

Pour aller plus en détails sur les risques et le contre-mesures, ce livre
(en anglais!) constitute une approche simple et pratique, même s'il commence
à dater un peu: http://books.google.be/books?id=yZX2uAoAagwC




Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS,
quand je mets Windows Authentication, n'acceptent pas mes credentials du
domaine (c'est normal car je ne suis pas dans le domaine).


C'est exact. Il faut qu'il soient membres du domaine pour pouvoire en
exploiter les crédentials


--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
Publicité
Poster une réponse
Anonyme