Book

[AD CS] Gérer une autorité de certification

 

J'avais déjà écrit quelques articles sur le service de certificats Active Directory, comme une installation simple d'une autorité racine d'entreprise. Ce scénario peut sembler suffisant pour apprendre le produit et réaliser quelques petites opérations. Dans un environnement plus complexe et si l'on souhaite rester un peu plus dans les bonnes pratiques, il est préférable d'avoir une autorité racine autonome qui fournit un certificat à l'autorité secondaire d'entreprise.

[AD CS] Agent d’inscription

 

Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.

Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.

Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.

[AD CS] Gérer les permissions sur les modèles de certificats

 

Sur chaque modèle de certificat, il est possible de définir des permissions spécifiques pour des utilisateurs, ordinateurs ou des groupes. Il est préférable d'utiliser des groupes et de gérer les membres.

Pour qu'un utilisateur ou un ordinateur puisse obtenir un certificat, il lui faut la permission d' « inscrire ».

[AD CS] Permissions sur l’autorité de certification AD CS

Au niveau des droits accès sur une autorité de certification, il existe quatre permissions :

  • Lire
  • Emettre et gérer des certificats
  • Gérer l'autorité de certification
  • Demander des certificats

     

Par défaut, les groupes d'administrations (« admins du domaine », « admins de l'entreprise » et « administrateurs ») disposent des permissions « émettre et gérer des certificats » ainsi que de « gérer l'autorité de certification ».

Les utilisateurs authentifiés disposent de la permission de demander un certificat.

[AD CS] Administration basée sur les rôles

L'administration basée sur les rôles permet de séparer les actions qu'un administrateur peut faire sur l'autorité de certification. En séparant les rôles, les erreurs ou les actes malveillants deviennent plus rares et plus complexes.

Les comptes d'administrations des autorités de certification ne devraient pas être membre du groupe « admins du domaine », « administrateur de l'entreprise », « administrateur de schéma ».

S'abonner à RSS - Book