Kerberos V5: comment cela fonctionne t-il ?

kerberos_noir

C’est tout bête, mais je relie cet article de Microsoft traitant du protocole kerberos au moins une fois par an… Il y a tout dedans, le protocole lui-même, les protocoles de chiffrement utilisés, la gestion des tickets, le contenu des tickets, l’interaction avec le LSA Windows, les relations inter-royaumes, etc… bref tout ce qu’il faut savoir quand on travaille avec kerberos dans l’environnement Active Directory.

C’est fou ce que l’on oublie rapidement 😉

Je vous conseil de le mettre en favoris, et de revenir sur cette page régulièrement, refaire une lecture, vous verrez c’est extrêmement bénéfique !

Un autre lien indispensable, le “Kerberos Survival Guide“, provenant du Technet Wiki de Microsoft – cette page est le point de départ de nombreuses réponses et de nombreuses questions…

 

ADFS Wiki Page

Microsoft a eut la bonne idée de créer des pages Wiki qui recensent de manière exhaustive (ou presque) l’ensemble du contenu en ligne proposé par Microsoft sur des technologies données. Il y a quelques technologies Microsoft où les ressources sont pauvres ou peu accessibles, c’est souvent le cas pour les produits “gratuits”.

Microsoft propose donc une page AD FS 2.0 Content Map qui contient l’ensemble des liens évoquant la technologie ADFS chez Microsoft. Les sujets abordés:

Table of Contents

  • Learn about AD FS 2.0
    • Introduction to AD FS 2.0
    • Overview of AD FS 2.0
    • About Claims and Claim Rules
    • About Claims-Based Identity & Applications
  • Research AD
    FS 2.0 Solutions

    • Integration with Microsoft Cloud Products
      • Office 365
      • Windows Azure Applications Platform
      • Windows Azure Appfabric Access Control Services (ACS)
    • Integration with Microsoft On-Premises Products
      • Active Directory Domain Services (AD DS)
      • Active Directory Rights Management Services (AD RMS)
      • Exchange Server 2010
      • Forefront Identity Manager (FIM)
      • Forefront UAG
      • Microsoft Dynamics CRM 2011
      • SharePoint Server 2007 & Windows SharePoint Services 3.0
      • SharePoint Foundation 2010
      • SharePoint Server 2010
      • Windows Identity Foundation (WIF)
    • Interoperability with Non-Microsoft Products
      • Interop Setup Guidance
      • Interop Test Lab Step-by-Step Guides
    • Case Studies
      • Microsoft IT
  • Design and Deploy AD FS 2.0
    • Plan and Design
    • Deploy
  • Manage AD FS 2.0
    • Certificates
    • Federation Server
    • Federation Server Proxy
    • Federation Service
    • Monitoring
    • Office 365
    • PowerShell
    • Security
    • Sign-in / Sign-out
    • Trusts
  • Troubleshoot AD
    FS 2.0

    • Authentication / Authorization
    • Browser Client Errors
    • Certificates
    • Federation Server Proxy
    • Federation Service
    • ForeFront UAG
    • Installation / Setup
    • Logging / Tracing
    • Office 365
    • Trusts
  • QFEs
    Related to AD FS 2.0
  • Additional AD FS 2.0 References
    • Developer References
    • Software Downloads
    • Related Microsoft Products
    • Related Open Standards
  • Community Resources
    • Forums
    • Blogs
    • Feeds

Microsoft créé une société spécialisée dans l’Open Source !

  Microsoft vient d’annoncer la création d’une société indépendante de Microsoft (MSFT) nommée “Microsoft Open Technologies” dont l’objectif sera de créer et de promouvoir les technologies Open Source.

Cette nouvelle société sera dirigée par un Français ! Jean Paoli (rien à voir avec Jean-Michel Paoli de Mafiosa…) sera en charge de gérer cette nouvelle société d’une petite centaine de personne – je ne sais pas ce que les référents OpenSource et Interopérabilité Microsoft des différents pays vont devenir, restent ils chez Microsoft (MSFT), leur contrat est il basculé vers cette nouvelle entité ? aucune idée, cela doit dépendre des problématiques de droit social de chaque pays.

Il est clair pour moi que cette initiative marque une étape extrêmement importante dans l’engagement de Microsoft envers l’interopérabilité et vers le développement de solutions liant les technologies Microsoft et les technologies non-Microsoft. Le développement de cette nouvelle entité peut aussi passer par des rachats stratégiques de sociétés pure-player proposant des solutions logicielles pour lier les deux mondes (Centrify ? Jalasoft ?).

Souhaitons longue vie à la nouvelle entité, j’ai pour ma part hâte de voir comment les choses vont évoluer 😉

Plus d’information [ ici en anglais ]

Quelques mots de Frédéric Esnouf pendant les Techdays 2012…

  Les Microsoft Techdays 2012 sont aussi l’occasion de croiser quelques personnes de référence côté Microsoft France. Frédéric est Architecte sur la partie IAM (FIM & AD RMS principalement) chez Microsoft France.

Vous retrouverez son interview sur le site de ITPro.

Vous retrouverez un article évoquant la gestion des environnements Cloud avec FIM sur le site de ITPro.

Vous retrouverez des informations techniques autour de FIM et d’AD RMS sur son blog.

Les sessions des Techdays 2012 sont en ligne !

  Les sessions des Microsoft Techdays 2012 sont en ligne ! Vous pourrez notamment retrouver mes deux sessions sur l’intégration Linux et Unix dans Active Directory et sur le déploiement d’AD RMS en entreprise. Il est également possible de télécharger les fichiers Powerpoint rattachés à ces présentations. N’hésitez pas à les visionner et à donner votre avis sur l’interface de gestion des commentaires et de notation.

# Session ” Windows & Linux: plus forts ensemble !

# Session ” Protéger le patrimoine informationnel de l’entreprise grâce à AD RMS

MVP Summit & MVP Nation were great !

  Le MVP Summit et la conférence MVP Nation touchent à leur fin. Ce fut extrêmement intéressant, certaines nouveautés autour de Windows 8 Server sont tout simplement impressionnantes (mais je ne peux pas vous en parler…NDA for ever…)  – Vous pouvez dès maintenant évaluer Windows 8 Server en téléchargeant la béta, et franchement, si vous êtes un ” IT Pro”, ne perdez pas de temps, il y a bcp de choses à voir…

Nous organiserons bientôt avec la www.cadim.org un évènement autour de la nouvelle version d’Active Directory et ferons des démonstrations en LIVE !

D’ici là, quelques photos du MVP Summit côté Frenchies: http://www.flickr.com/photos/mtoo/sets/72157629491660511/show/

 

 

Microsoft Techdays 2012: Windows et Linux, plus fort ensemble !

  Une bonne nouvelle n’arrivant jamais seule, une deuxième session aux Microsoft Techdays 2012 vient de m’être accordée !

Cette deuxième session aura pour thème une problématique qui m’est chère: La cohabitation des environnements Linux et Windows au sein de la DSI, et ce depuis un angle technique ET organisationnel.

Vous trouverez des détails sur la session et le moyen de vous enregistrez sur le site des Techdays.

Venez très nombreux pour échanger sur cette problématique, les débats risquent d’être animés !

Microsoft Techdays 2012: venez participer à ma session sur AD RMS

  L’année 2012 se rapproche à grands pas, et l’évènement IT de ce début d’année sera vraisemblablement les Microsoft Techdays 2012, avec son lot de présentations, de sessions techniques, d’exposants, de solutions partenaires et de soirées VIP 😉 (spéciale dédicace à David P…..)

Cette année j’aurais la joie de co-animer une session avec Fréderic Esnouf sur le thème: ” Protéger le patrimoine informationnel de l’entreprise grâce à AD RMS “ – les détails de la session étant accessibles sur le site des Techdays 2012.

En espérant vous voir très nombreux à la session !

 

Sortie de l’Update Rollup 1 pour AD FS 2.0

Microsoft à délivré l’Update Rollup 1 pour AD FS 2.0. En dehors des habituelles corrections de bugs, de nouvelles fonctions extrêmement intéressantes sont apparues dans ce Rollup. On notera que des fonctions stratégiques autour de la fédération avec Office365 surgissent dans cet update.

>> Tout d’abord, les corrections de bug (en anglais):

  • KB2254265 (http://support.microsoft.com/kb/2254265) The “500” error code is returned when you send an HTTP SOAP request to the “/adfs/services/trust/mex” endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008
  • KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008
  • The “400” error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)
  • Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.
  • Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.
  • AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

  • Fonction 1: “Multiple Issuer Support for Office365“: Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici
  • Fonction 2: “Client Access Policy Support for Office365“: Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici
  • Fonction 3: “Congestion Avoidance Algorithm“: Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
    <congestionControl latencyThresholdInMSec=”2000″ minCongestionWindowSize=”16″ />

Avec les paramètres ajustables suivants:

  •  Fonction 4: “Additional AD FS 2.0 performance counters“:  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

Microsoft annonce la sortie de FIM 2010 R2 Beta

Microsoft vient d’annoncer la mise à disposition de la version Beta de FIM 2010 R2.

Pour rappel, au rayon des nouveautés:

• Gestion des mots de passe en self service via une interface web complète ( ne nécessite plus que le PC fasse parti du domaine AD pour utiliser la fonction de gestion de mot de passe)
• Amélioration des fonction de rapports et d’historique via une intégration à System Center Service Manager
• Amélioration des performances globales et mise à disposition d’outils de diagnostics
• Support de Microsoft Outlook 2010 et de Microsoft SharePoint Foundation 2010

L’inscription au programme Beta est possible via le site Microsoft Connect