Précédemment, nous avons réalisé l'installation du rÎle AccÚs à distance : Web Application Proxy afin de mettre en place un serveur proxy pour les authentifications ADFS. Nous allons ainsi passer à la configuration de ce service.
Prérequis
Afin de réaliser la configuration du proxy ADFS (WAP), quelques prérequis sont nécessaires :
- Il est toute fois important de réaliser la configuration avec un compte local "Administrateur".
- Vous devez disposer du certificat SSL (clé publique + privée => fichier
.pfx) - La machine doit ĂȘtre positionnĂ©e dans une DMZ (rĂ©seau destinĂ©s aux machines accessibles depuis Internet).
- La machine ne doit pas ĂȘtre membre du domaine.
Installer le certificat PFX sur la machine
Comme indiquĂ© prĂ©cĂ©demment, il est nĂ©cessaire d'avoir le mĂȘme certificat que le serveur ADFS. Nous allons devoir l'installer dans le magasin personnel du compte ordinateur. SĂ©lectionnez "Ordinateur local", puis cliquez sur "Suivant" :
SĂ©lectionnez le fichier PFX Ă importer :
Saisissez le mot de passe pour la clé de sécurité du certificat :
SĂ©lectionner ensuite "Placer tous les certificats dans le magasin suivant", puis "Personnel". Cliquez enfin sur "OK", puis "Suivant" :
L'importation sera réalisée lorsque l'on clique sur le bouton "Terminer". Une fois cela, l'importation a bien été réalisée.
Configuration du Proxy d'Application Web (WAP)
Lors de la fin de l'installation du rÎle, il est nécessaire de réaliser une configuration.
Dans le Gestionnaire de serveur, une configuration supplĂ©mentaire est requise pour le rĂŽle "AccĂšs Ă distante : WAP". En haut Ă droite du Gestionnaire de serveur, cliquez sur le drapeau, puis Configuration post-dĂ©ploiement > "Ouvrir l'assistant Proxy d'application Web" ou directement en cliquant sur le lien situĂ© dans la fenĂȘtre de l'installation du rĂŽle :
Lors du lancement de l'assistant, cliquez sur "Suivant" :
La page suivante requis le nom du service de fĂ©dĂ©ration ADFS : vous devez respecter le mĂȘme nom de service (dans notre cas : authwall.vemotech.fr) (voir la section : Configurer le service FS).
De mĂȘme, utilisez le compte que vous avez utilisĂ© pour le compte du service ADFS :
Si le certificat a bien été importé, il doit apparaitre dans la liste des certificats :
Ensuite, nous obtenons la confirmation de configuration du service. Cliquez sur "Configurer" afin de permettre cela.
La commande PowerShell a été clairement générée grùce aux actions réalisées lors de l'assistant de configuration :
Install-WebApplicationProxy
-FederationServiceTrustCredential System.Management.Automation.PSCredential # Envoi les credentials
-CertificateThumbprint 'C05B0B6BAD7E3C1899F29A0A84E710A604214B09' # Empreinte du certificat sélectionné
-FederationServiceName 'adfs.vemo.tech' # Nom du service ADFS
La commande peut ĂȘtre utilisĂ©e lors de plusieurs dĂ©ploiement simultanĂ©, si jamais vous avez une ferme de serveurs.
La configuration est en cours...
Nous voyons bien que l'association avec le proxy et le serveur ADFS a bien été réalisée.
La "Console de gestion de l'accĂšs distant" s'ouvre automatiquement une fois l'assistant fermĂ©. En cliquant sur "Ătat des opĂ©rations", vous pouvez visualiser que la connexion entre le serveur WAP et le serveur ADFS communiquent entres eux. Le serveur WAP fonctionnement correctement.
Troubleshooting
Erreur lors de la tentative d'établissement d'une relation d'approbation avec le service de fédération
Si vous obtenez l'erreur "Une erreur s'est produite lors de la tentative d'établissement d'une relation d'approbation avec le service de fédération. Erreur : Impossible de se connecter au serveur distant", vérifiez vos rÚgles de filtrages du pare-feu afin d'autoriser l'accÚs du serveur WAP vers le serveur ADFS sur le port 443.
RÚgle à configurer sur le pare-feu réseau (ici avec un Stormshield) :
De mĂȘme si vous avez une erreur concernant qu'il est impossible d'Ă©tablir une connexion SSL valide : vĂ©rifiez que tous les certificats sont "trustĂ©s" sur les postes afin d'avoir les certificats valides et qu'ils sont identiques de chaque cĂŽtĂ©.
Erreur : L'assistant de configuration WAP Ă©choue avec une erreur de certificat d'approbation
Il arrive que lors du dĂ©roulĂ© du processus de configuration du WAP Ă©choue suite Ă une erreur de communication avec le serveur. Le message peut ĂȘtre le suivant :
Echec de la rĂ©cupĂ©ration des donnĂ©es de configuration du proxy Ă partir du serveur de fĂ©dĂ©ration Ă lâaide dâun certificat dâapprobation avec empreinte numĂ©rique <empreinte numĂ©rique> avec le code dâĂ©tat 'InternalServerError'.
Pour une raison quelconque, le serveur WAP a des difficultĂ©s Ă contacter le serveur ADFS interne qui fonctionne Ă©galement sous Windows 2022. La rĂ©solution de noms fonctionne bien et les informations dâidentification de lâadministrateur local Ă©taient correctes.
Lâune des nouvelles fonctionnalitĂ©s de Windows 2022 est la prise en charge de TLS 1.3 et voici le coupable. Il semble quâADFS ne fonctionne pas correctement avec TLS 1.3.
Pour désactiver TLS 1.3 sur le serveur WAP, ajoutez les clés de Registre suivantes, dans un fichier .reg :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server]
Lancez le fichier en double cliquant, puis valider l'enregistrement des clés dans le registre Windows :
L'enregistrement a bien été réalisé.
Crédits : https://jaapwesselius.com/2022/01/19/adfs-web-application-proxy-configuration-wizard-fails-with-trust-certificate-error/comment-page-1/
