IIS 6 : Faire du webdavs pour exporter les homedir des utilisateurs AD
2 réponses
Bonjour à tous,
Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire ce
message.
Voici mon environnement :
- Un domaine Active Directory natif 2003
- Un serveur membre 2003 avec II6
- Un serveur NAS CIFS intégré au domaine
- Un partage HOME sur le NAS contenant les home directory des utilisateurs
(chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire)
- Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs d'accèder
a leurs home dir depuis l'exterieur de la façon la plus sécurisée possible.
Faire du webdav dans du SSL me semble une solution possible (en fait je n'en
vois pas d'autres, a part un tunnel SSH)
(Pour des questions de firewall, le VPN ne semble par être une bonne
solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage
situé sur un autre ordinateur" et je monte \\NAS\home en lecture/ecriture et
exploration.
En sécurité de répertoire j'ai désactivé la connexion anonyme et coché
Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à
rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a partir
du serveur il me demande un mot de passe mais aucun ne semble correct et si,
dans IIS, je fais un clic droit sur le site puis Explorer j'accède à tout,
même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement,
E.G.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Lognoul Marc [MVP]
Bonsoir,
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la configuration suivante: Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest, qui ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, si vous utilisez un Windows standard, accéder au site extranet via Office uniquement car le client WebDAV de Windows ne fonctionne pas sur un autre port que le port 80 Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités: 1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que pour l'extranet 2) Votre NAS support Kerberos: Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS Au niveau IIS, cocher la case Integrated windows Authentication et appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que "Negotiate" (soit cscript adsutil.vbs set WebSite Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou DNS (pas un alias) par le biais de l'explorateur Windows ou directement dans MS Office
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$
Bonjour à tous, Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire ce message. Voici mon environnement : - Un domaine Active Directory natif 2003 - Un serveur membre 2003 avec II6 - Un serveur NAS CIFS intégré au domaine - Un partage HOME sur le NAS contenant les home directory des utilisateurs (chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire) - Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs d'accèder a leurs home dir depuis l'exterieur de la façon la plus sécurisée possible. Faire du webdav dans du SSL me semble une solution possible (en fait je n'en vois pas d'autres, a part un tunnel SSH) (Pour des questions de firewall, le VPN ne semble par être une bonne solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage situé sur un autre ordinateur" et je monte NAShome en lecture/ecriture et exploration. En sécurité de répertoire j'ai désactivé la connexion anonyme et coché Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a partir du serveur il me demande un mot de passe mais aucun ne semble correct et si, dans IIS, je fais un clic droit sur le site puis Explorer j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement, E.G.
Bonsoir,
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la
configuration suivante:
Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest, qui
ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la
configuration décrite dans cet article
http://support.microsoft.com/kb/332151/fr
Sur le poste client, si vous utilisez un Windows standard, accéder au site
extranet via Office uniquement car le client WebDAV de Windows ne fonctionne
pas sur un autre port que le port 80
Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant IIS
et cocher la case "Enable this account to be trusted for delegation".
Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités:
1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que pour
l'extranet
2) Votre NAS support Kerberos:
Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant IIS
et cocher la case "Enable this account to be trusted for delegation".
Redémarrer le serveur IIS
Au niveau IIS, cocher la case Integrated windows Authentication et appliquer
la configuration décrite dans cet article
http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que
"Negotiate" (soit cscript adsutil.vbs set WebSite
Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration
décrite dans cet article http://support.microsoft.com/kb/332151/fr
Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou
DNS (pas un alias) par le biais de l'explorateur Windows ou directement dans
MS Office
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$426a74cc@news.free.fr...
Bonjour à tous,
Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire
ce message.
Voici mon environnement :
- Un domaine Active Directory natif 2003
- Un serveur membre 2003 avec II6
- Un serveur NAS CIFS intégré au domaine
- Un partage HOME sur le NAS contenant les home directory des utilisateurs
(chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire)
- Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs
d'accèder a leurs home dir depuis l'exterieur de la façon la plus
sécurisée possible.
Faire du webdav dans du SSL me semble une solution possible (en fait je
n'en vois pas d'autres, a part un tunnel SSH)
(Pour des questions de firewall, le VPN ne semble par être une bonne
solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage
situé sur un autre ordinateur" et je monte \NAShome en lecture/ecriture
et exploration.
En sécurité de répertoire j'ai désactivé la connexion anonyme et coché
Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à
rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a
partir du serveur il me demande un mot de passe mais aucun ne semble
correct et si, dans IIS, je fais un clic droit sur le site puis Explorer
j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement,
E.G.
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la configuration suivante: Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest, qui ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, si vous utilisez un Windows standard, accéder au site extranet via Office uniquement car le client WebDAV de Windows ne fonctionne pas sur un autre port que le port 80 Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités: 1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que pour l'extranet 2) Votre NAS support Kerberos: Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS Au niveau IIS, cocher la case Integrated windows Authentication et appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que "Negotiate" (soit cscript adsutil.vbs set WebSite Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou DNS (pas un alias) par le biais de l'explorateur Windows ou directement dans MS Office
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$
Bonjour à tous, Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire ce message. Voici mon environnement : - Un domaine Active Directory natif 2003 - Un serveur membre 2003 avec II6 - Un serveur NAS CIFS intégré au domaine - Un partage HOME sur le NAS contenant les home directory des utilisateurs (chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire) - Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs d'accèder a leurs home dir depuis l'exterieur de la façon la plus sécurisée possible. Faire du webdav dans du SSL me semble une solution possible (en fait je n'en vois pas d'autres, a part un tunnel SSH) (Pour des questions de firewall, le VPN ne semble par être une bonne solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage situé sur un autre ordinateur" et je monte NAShome en lecture/ecriture et exploration. En sécurité de répertoire j'ai désactivé la connexion anonyme et coché Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a partir du serveur il me demande un mot de passe mais aucun ne semble correct et si, dans IIS, je fais un clic droit sur le site puis Explorer j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement, E.G.
Sarou
Merci beaucoup pour votre réponse, je vais tester tout ça ! Cordialement, E.G.
"Lognoul Marc [MVP]" a écrit dans le message de groupe de discussion :
Bonsoir,
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la configuration suivante: Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest, qui ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, si vous utilisez un Windows standard, accéder au site extranet via Office uniquement car le client WebDAV de Windows ne fonctionne pas sur un autre port que le port 80 Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités: 1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que pour l'extranet 2) Votre NAS support Kerberos: Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS Au niveau IIS, cocher la case Integrated windows Authentication et appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que "Negotiate" (soit cscript adsutil.vbs set WebSite Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou DNS (pas un alias) par le biais de l'explorateur Windows ou directement dans MS Office
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$
Bonjour à tous, Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire ce message. Voici mon environnement : - Un domaine Active Directory natif 2003 - Un serveur membre 2003 avec II6 - Un serveur NAS CIFS intégré au domaine - Un partage HOME sur le NAS contenant les home directory des utilisateurs (chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire) - Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs d'accèder a leurs home dir depuis l'exterieur de la façon la plus sécurisée possible. Faire du webdav dans du SSL me semble une solution possible (en fait je n'en vois pas d'autres, a part un tunnel SSH) (Pour des questions de firewall, le VPN ne semble par être une bonne solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage situé sur un autre ordinateur" et je monte NAShome en lecture/ecriture et exploration. En sécurité de répertoire j'ai désactivé la connexion anonyme et coché Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a partir du serveur il me demande un mot de passe mais aucun ne semble correct et si, dans IIS, je fais un clic droit sur le site puis Explorer j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement, E.G.
Merci beaucoup pour votre réponse, je vais tester tout ça !
Cordialement,
E.G.
"Lognoul Marc [MVP]" <lognoulm@hotmail.com> a écrit dans le message de
groupe de discussion : Ouzws9bdJHA.1184@TK2MSFTNGP05.phx.gbl...
Bonsoir,
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la
configuration suivante:
Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest,
qui ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la
configuration décrite dans cet article
http://support.microsoft.com/kb/332151/fr
Sur le poste client, si vous utilisez un Windows standard, accéder au site
extranet via Office uniquement car le client WebDAV de Windows ne
fonctionne pas sur un autre port que le port 80
Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant
IIS et cocher la case "Enable this account to be trusted for delegation".
Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités:
1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que
pour l'extranet
2) Votre NAS support Kerberos:
Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant
IIS et cocher la case "Enable this account to be trusted for delegation".
Redémarrer le serveur IIS
Au niveau IIS, cocher la case Integrated windows Authentication et
appliquer la configuration décrite dans cet article
http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que
"Negotiate" (soit cscript adsutil.vbs set WebSite
Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration
décrite dans cet article http://support.microsoft.com/kb/332151/fr
Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou
DNS (pas un alias) par le biais de l'explorateur Windows ou directement
dans MS Office
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$426a74cc@news.free.fr...
Bonjour à tous,
Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire
ce message.
Voici mon environnement :
- Un domaine Active Directory natif 2003
- Un serveur membre 2003 avec II6
- Un serveur NAS CIFS intégré au domaine
- Un partage HOME sur le NAS contenant les home directory des
utilisateurs (chaque homedir contient des ACL NTFS rendant l'utilisateur
proprietaire)
- Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs
d'accèder a leurs home dir depuis l'exterieur de la façon la plus
sécurisée possible.
Faire du webdav dans du SSL me semble une solution possible (en fait je
n'en vois pas d'autres, a part un tunnel SSH)
(Pour des questions de firewall, le VPN ne semble par être une bonne
solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage
situé sur un autre ordinateur" et je monte \NAShome en lecture/ecriture
et exploration.
En sécurité de répertoire j'ai désactivé la connexion anonyme et coché
Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder
à rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a
partir du serveur il me demande un mot de passe mais aucun ne semble
correct et si, dans IIS, je fais un clic droit sur le site puis Explorer
j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait
?
Merci beaucoup par avance, bien cordialement,
E.G.
Merci beaucoup pour votre réponse, je vais tester tout ça ! Cordialement, E.G.
"Lognoul Marc [MVP]" a écrit dans le message de groupe de discussion :
Bonsoir,
Dans le cadre de l'accès extranet, il vous est possible d'appliquer la configuration suivante: Au niveau IIS, sélectionner l'authentification "Basic" (retirer digest, qui ne fonctionne que sur un DC) toute en activant l'SSL. Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, si vous utilisez un Windows standard, accéder au site extranet via Office uniquement car le client WebDAV de Windows ne fonctionne pas sur un autre port que le port 80 Au niveau AD, éditer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS
Au niveau Intranet, deux possibilités: 1) Votre NAS ne supporte pas kerberos -> appliquer la même solution que pour l'extranet 2) Votre NAS support Kerberos: Au niveau AD, editer les propriétés du compte de l'ordinateur hébergeant IIS et cocher la case "Enable this account to be trusted for delegation". Redémarrer le serveur IIS Au niveau IIS, cocher la case Integrated windows Authentication et appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/215383/fr mais en ne spécifiant que "Negotiate" (soit cscript adsutil.vbs set WebSite Web/Root/NTAuthenticationProviders Negotiate). Appliquer la configuration décrite dans cet article http://support.microsoft.com/kb/332151/fr Sur le poste client, accéder au serveur IIS en utilisant son nom cours ou DNS (pas un alias) par le biais de l'explorateur Windows ou directement dans MS Office
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
<Sarou> wrote in message news:496c88cf$0$15771$
Bonjour à tous, Tout d'abord merci beaucoup aux personnes qui prendront le temps de lire ce message. Voici mon environnement : - Un domaine Active Directory natif 2003 - Un serveur membre 2003 avec II6 - Un serveur NAS CIFS intégré au domaine - Un partage HOME sur le NAS contenant les home directory des utilisateurs (chaque homedir contient des ACL NTFS rendant l'utilisateur proprietaire) - Le tout en production (je ne peux faire varier l'archi)
Ma problèmatique à la base est simple : permettre aux utilisateurs d'accèder a leurs home dir depuis l'exterieur de la façon la plus sécurisée possible. Faire du webdav dans du SSL me semble une solution possible (en fait je n'en vois pas d'autres, a part un tunnel SSH) (Pour des questions de firewall, le VPN ne semble par être une bonne solution)
J'ai donc crée un nouveau site dont le repertoire de base est "un partage situé sur un autre ordinateur" et je monte NAShome en lecture/ecriture et exploration. En sécurité de répertoire j'ai désactivé la connexion anonyme et coché Authentification intégrée et Authentification Digest (pour le domaine)
Le resultat est plutôt étonant : d'un poste client je n'arrive à accèder à rien (via le nom j'ai une erreur immédiate et via l'IP ça mouline), a partir du serveur il me demande un mot de passe mais aucun ne semble correct et si, dans IIS, je fais un clic droit sur le site puis Explorer j'accède à tout, même des dossiers auquel je n'ai aucun droit !
Est-ce que vous auriez des conseils, ou une procédure qui me dépannerait ?
Merci beaucoup par avance, bien cordialement, E.G.
