Configurer l’appliance Citrix SD-WAN WANOP pour optimiser la sécurité du trafic Windows

Vous devez ajouter l’appliance Citrix SD-WAN WANOP à l’infrastructure de sécurité Windows avant de pouvoir optimiser le système de fichiers Windows signé et le trafic MAPI Outlook/Exchange chiffré.

Grâce aux améliorations apportées au système de sécurité Windows dans les versions récentes de Windows, les clients et les serveurs sécurisent le trafic en authentifiant et en chiffrant les données. Cela nécessite que l’appliance Citrix SD-WAN WANOP soit un membre de confiance de l’infrastructure de sécurité Windows avant d’optimiser le système de fichiers Windows signé et le trafic MAPI Outlook/Exchange chiffré.

Après avoir ajouté l’appliance à l’infrastructure de sécurité Windows, elle dispose des fonctionnalités suivantes :

  • Accélération du trafic des serveurs de fichiers pour les serveurs Microsoft Windows, NetApp et Hitachi HNAS à l’aide du protocole SMB signé et SMB2 signé.

  • Accélération du trafic serveur Microsoft Exchange lorsqu’il est accessible par les clients Outlook à l’aide de MAPI chiffré ou RPC sur HTTPS.

Fonctionnement de l’appliance Citrix SD-WAN WANOP dans un système de sécurité Windows

La connexion de l’appliance à un domaine Windows nécessite des informations d’identification de l’administrateur. Lorsqu’elle rejoint le domaine Windows, l’appliance devient un membre approuvé du domaine. Cela permet à l’appliance d’être déclarée membre de l’infrastructure de sécurité du domaine.

Une fois l’appliance intégrée à l’infrastructure de sécurité Windows, les utilisateurs doivent être authentifiés avant d’accéder aux ressources. Pour éviter la difficulté de configurer un grand nombre d’utilisateurs dans le domaine, vous pouvez déléguer la responsabilité d’authentification à un utilisateur délégué.

Vous créez un utilisateur délégué dans le répertoire actif. Cet utilisateur est similaire à un utilisateur normal, mais avec des privilèges spéciaux. Après avoir créé l’utilisateur délégué, vous devez configurer cet utilisateur sur l’appliance Citrix SD-WAN WANOP. L’appliance utilise l’utilisateur délégué pour s’authentifier au nom des utilisateurs lorsqu’ils accèdent à des flux de données authentifiés et chiffrés à l’aide de protocoles Windows, tels que CIFS et MAPI.

Pour accélérer le trafic CIFS et MAPI, le mécanisme de délégation Windows standard vous permet de limiter la délégation de sécurité aux services concernés. Cette délégation contrainte est disponible depuis la version de Windows Server 2003.

Après avoir fait partie du domaine, l’appliance accélère le trafic Windows sécurisé. Une appliance de centre de données qui rejoint un domaine Windows doit avoir une relation d’homologue sécurisée avec l’appliance distante ou le plug-in Citrix SD-WAN WANOP, mais seule l’appliance de centre de données rejoint le domaine Windows. Aux fins de l’accélération CIFS ou MAPI, l’appliance distante agit en tant qu’esclave de l’appliance du centre de données, étant contrôlée sur le tunnel SSL sécurisé entre les deux. Par conséquent, les informations d’identification de l’utilisateur délégué ne quittent pas le centre de données.

La figure suivante illustre un exemple de diagramme topologique pour cette configuration.

image localisée

Dans la figure ci-dessus, un client de succursale accède aux ressources du centre de données. Le client de succursale, se trouvant dans un autre domaine, utilise l’authentification NTLM dans le cadre du système de sécurité Windows. Comme pour toutes les connexions accélérées entre deux appliances Citrix SD-WAN WANOP dans une relation homologue sécurisée, les connexions CIFS ou MAPI et les authentifications NTLM sur le WAN sont chiffrées. Selon la version du Controller de domaine Windows, la demande utilisateur du centre de données Citrix SD-WAN WANOP est authentifiée à l’aide du protocole d’authentification NTLM ou Kerberos. Une fois que le domaine authentifie l’utilisateur, les demandes d’accès ultérieures au serveur Exchange et aux serveurs de fichiers utilisent le protocole d’authentification Kerberos. L’appliance Citrix SD-WAN WANOP optimise ensuite les connexions établies entre le client et le serveur.

Si les appliances ne disposent pas d’une relation homologue sécurisée ou si l’appliance du centre de données n’a pas réussi à joindre le domaine, les connexions utilisent l’accélération du contrôle de flux TCP, qui n’effectue aucune opération de sécurité, compression ou transformation des données. Les connexions entre le client et le serveur sont établies comme si les appliances Citrix SD-WAN WANOP n’étaient pas là.

Vous pouvez configurer différents modes d’authentification client sur les systèmes d’exploitation Windows. Les types de connexions optimisés par l’appliance Citrix SD-WAN WANOP dépendent du mode d’authentification client que vous configurez.

Le tableau suivant répertorie les modes d’authentification du client Windows sous Windows et les optimisations Citrix SD-WAN WANOP correspondantes.

Authentification et optimisation prises en charge pour le système d’exploitation Windows

Système d’exploitation client Mode d’authentification du client Optimisation Commentaires
Windows XP/Windows Vista/Windows 7/Windows 8 Négocier l’authentification (SPNEGO) Accélération de contrôle de débit TCP, Compression, accélération du protocole CIFS Paramètre par défaut utilisé pour toutes les versions de Windows.
Windows XP/Windows Vista/Windows7/Windows 8 NTLM uniquement ou Kerberos uniquement Accélération du contrôle de débit TCP uniquement Modes d’authentification autres que par défaut

Remarque : Si vous utilisez les modes d’authentification client NTLM uniquement ou Kerberos uniquement, le trafic n’est pas accéléré s’il est chiffré.

Configuration requise pour ajouter un dispositif Citrix SD-WAN WANOP au système de sécurité Windows

Pour optimiser le trafic sécurisé pour le trafic SMB signé Windows et chiffré MAPI, votre déploiement Citrix SD-WAN WANOP doit répondre aux exigences suivantes avant d’ajouter l’appliance à l’infrastructure de sécurité Windows :

  • Les appliances d’accélération côté client et côté serveur doivent avoir établi une relation homologue sécurisée.

  • Les appliances doivent utiliser un serveur NTP étroitement synchronisé avec l’heure sur le serveur de domaine Windows. Idéalement, les appliances et le serveur de domaine Windows sont tous des clients du même serveur NTP.

  • Outlook ne doit pas être configuré pour l’option Kerberos uniquement ou NTLM uniquement. L’option par défaut (négociée) est requise pour l’accélération.

  • Le client et le serveur peuvent être membres de n’importe quel domaine bénéficiant d’une approbation bidirectionnelle avec le domaine de l’appliance côté serveur. L’approbation unidirectionnelle n’est pas prise en charge.

  • Un utilisateur délégué Kerberos doit être configuré sur le Controller de domaine pour être utilisé par l’appliance participant à l’infrastructure de sécurité du domaine.

  • Les adresses IP du serveur DNS pour le domaine doivent être configurées et accessibles sur l’appliance côté serveur.

  • Les serveurs de domaine doivent être entièrement accessibles, avec des recherches avant et inversées pour toutes les adresses IP des contrôleurs de domaine configurés sur les serveurs DNS.

  • Le nom d’hôte de l’appliance Citrix SD-WAN WANOP côté serveur doit être unique. L’utilisation du nom d’hôte par défaut de « hostname » est susceptible de causer des problèmes.

    Remarque

    Le client Outlook Macintosh n’utilise pas la norme MAPI (Outlook/Exchange) et n’est pas accéléré par cette fonctionnalité.

Ajouter un dispositif Citrix SD-WAN WANOP à l’infrastructure de sécurité Windows

Pour optimiser le trafic Windows sécurisé, l’appliance Citrix SD-WAN WANOP doit faire partie du système de sécurité Windows et doit s’authentifier auprès du système de sécurité ou du domaine. Comme indiqué dans la figure ci-dessous, pour faire de l’appliance une partie du système de sécurité Windows, vous devez faire en sorte que l’appliance joigne un domaine (à l’aide des informations d’identification administratives). En outre, vous devez configurer un utilisateur nouveau ou existant en tant qu’utilisateur délégué en associant les services CIFS et Exchange à cet utilisateur. Vous devez ensuite configurer cet utilisateur délégué sur l’appliance Citrix SD-WAN WANOP.

Vous pouvez utiliser l’utilitaire Pre Domain Check pour savoir s’il existe des problèmes liés à la connexion de l’appliance à un domaine.

Remarque

Le système de sécurité Windows utilise le service Exchange pour gérer les connexions MAPI. Configuration de la configuration pour optimiser le trafic Windows sécurisé

image localisée

Joignez une appliance Citrix SD-WAN WANOP au domaine Windows :

Lorsque l’appliance rejoint le domaine, elle échange un secret partagé avec le contrôleur de domaine, ce qui lui permet de rester indéfiniment partie du domaine. Lorsque vous joignez une appliance à un domaine, assurez-vous que vous disposez des informations d’identification d’administrateur pour le Controller de domaine.

Pour vous assurer que l’appliance Citrix SD-WAN WANOP optimise le trafic CIFS et MAPI (y compris le trafic encapsulé en tant que RPC sur HTTPS), vous devez faire de l’appliance une partie du domaine dont font partie le serveur de fichiers Windows et le serveur Exchange. Vous devez joindre l’appliance côté serveur au domaine.

Remarque : les informations d’identification d’administration de domaine ne sont pas enregistrées sur l’appliance.

Pour joindre un dispositif Citrix SD-WAN WANOP à un domaine Windows :

  1. Accédez à l’onglet Configuration > Accélération sécurisée > Domaine Windows.

  2. Cliquez sur Joindre le domaine Windows.

  3. Entrez le nom de domaine Windows dans le champ Nom de domaine.

  4. Dans le champ Nom d’utilisateur, entrez le nom d’utilisateur de l’administrateur du Controller de domaine.

  5. Dans le champ Mot de passe, spécifiez le mot de passe administrateur du Controller de domaine.

  6. Si nécessaire, modifiez les serveurs DNS pour assurer la cohérence avec le domaine Windows.

  7. Cliquez sur OK.

  8. Dans la section Utilisateurs délégués, ajoutez un utilisateur délégué, comme décrit dans les procédures ci-dessous.

    Image localisée

Configurer un utilisateur délégué :

Après avoir joint l’appliance à un domaine Windows, vous devez créer un utilisateur que l’appliance peut utiliser pour authentifier les utilisateurs avec le domaine. Cet utilisateur est connu sous le nom d’utilisateur délégué.

Remarque : Pour créer un compte d’utilisateur délégué, vous devez disposer d’un accès administrateur au Controller de domaine Windows et à l’appliance. Si vous n’avez pas accès administrateur au Controller de domaine Windows, assurez-vous qu’un administrateur autorisé effectue les tâches requises sur le Controller de domaine.

La configuration de l’authentification utilisateur à l’aide de la délégation Kerberos implique deux tâches : la configuration d’un utilisateur délégué sur le contrôleur de domaine, puis l’ajout de cet utilisateur à l’appliance Citrix SD-WAN WANOP.

Configurez un utilisateur délégué sur un Controller de domaine :

Avant de configurer un utilisateur délégué sur un dispositif Citrix SD-WAN WANOP, vous devez configurer un utilisateur délégué avec les propriétés requises sur le contrôleur de domaine. Vous pouvez créer un compte d’utilisateur délégué ou utiliser un compte d’utilisateur existant en tant que compte d’utilisateur délégué.

Après avoir créé un compte ou sélectionné un compte existant, activez la délégation pour cet utilisateur. Vous associez ensuite l’utilisateur délégué aux services CIFS et Exchange, afin que le trafic de ces services puisse être accéléré. Après avoir ajouté cet utilisateur à l’appliance Citrix SD-WAN WANOP, l’appliance présente des informations d’identification déléguées pour les services associés à ce compte.

Créez un compte d’utilisateur délégué :

Créez un compte d’utilisateur délégué sur le contrôleur de domaine Windows afin que l’appliance Citrix SD-WAN WANOP puisse utiliser ce compte au nom des utilisateurs pour les authentifier auprès du contrôleur de domaine.

Remarque : si vous souhaitez configurer un utilisateur existant en tant qu’utilisateur délégué, ignorez cette procédure.

Pour créer un compte d’utilisateur délégué :

  1. Ouvrez une session sur le Controller de domaine Windows en tant qu’administrateur. Assurez-vous que le serveur de fichiers ou le serveur Exchange est membre de ce domaine.

  2. Dans le menu Démarrer, ouvrez la fenêtre Utilisateurs et ordinateurs Active Directory.

  3. Créez un utilisateur délégué, comme indiqué dans la capture d’écran suivante :

    Image localisée

Activer la délégation pour un utilisateur :

Jusqu’à présent, l’utilisateur que vous avez créé est similaire à n’importe quel utilisateur que vous créez sur le serveur Active Directory. Pour activer la délégation pour l’utilisateur, vous devez définir l’attribut Nom principal de service de l’utilisateur pour déléguer et associer l’utilisateur délégué aux services requis. Cela rend l’utilisateur à avoir des privilèges spéciaux attachés à lui et en faire un utilisateur délégué.

Pour activer la délégation pour l’utilisateur :

  1. Dans le menu Démarrer, ouvrez la fenêtre Utilisateurs et ordinateurs Active Directory.

  2. Dans le menu Affichage, sélectionnez Fonctionnalités avancées.

  3. Sélectionnez le nœud Utilisateur.

  4. Cliquez avec le bouton droit sur l’utilisateur que vous souhaitez créer un utilisateur délégué.

  5. Dans le menu contextuel, sélectionnez Propriétés et accédez à l’onglet Editeur d’attributs, comme indiqué dans la capture d’écran suivante :

    Image localisée

  6. Dans la liste Attributs, sélectionnez ServicePrincipalName, comme indiqué dans la capture d’écran suivante :

    Image localisée

  7. Cliquez sur Edit.

  8. Dans la boîte de dialogue Éditeur de chaîne à valeurs multiples, dans le champ Valeur à ajouter, spécifiez delegate/<User_Name>, comme indiqué dans la capture d’écran suivante :

    Image localisée

  9. Cliquez sur Ajouter.

  10. Cliquez sur OK.

  11. Cliquez sur Appliquer.

  12. Cliquez sur OK.

  13. Ouvrez la boîte de dialogue Propriétés de l’utilisateur délégué MAPI-CIFS de l’utilisateur et vérifiez que l’onglet Délégation a été ajouté à la boîte de dialogue, comme indiqué dans la capture d’écran suivante :

    Image localisée

Associez l’utilisateur délégué à CIFS et Exchange Services :

Après avoir activé l’onglet Délégation pour l’utilisateur, vous pouvez l’associer à des services pour lesquels l’utilisateur peut présenter des informations d’identification déléguées. Lorsque vous ajoutez cet utilisateur à l’appliance Citrix SD-WAN WANOP, l’appliance présente des informations d’identification déléguées pour les services associés à ce compte. Remarque : l’infrastructure de sécurité Windows utilise le service Exchange pour gérer le trafic MAPI.

Pour associer l’utilisateur délégué aux services CIFS et Exchange :

  1. Dans l’onglet Délégation, sélectionnez l’option Approuver cet utilisateur pour la délégation à des services spécifiques uniquement.

  2. Sélectionnez l’option Utiliser n’importe quel protocole d’authentification.

  3. Cliquez sur Ajouter, comme indiqué dans la capture d’écran suivante :

    Image localisée

  4. Dans la boîte de dialogue Ajouter un service, cliquez sur Utilisateurs et ordinateurs.

  5. Dans la boîte de dialogue Sélectionner les utilisateurs ou les ordinateurs, ajoutez l’ordinateur local à sélectionner, comme indiqué dans la capture d’écran suivante :

    Image localisée

  6. Cliquez sur OK.

  7. Dans la boîte de dialogue Ajouter des services, dans la liste Services disponibles, sélectionnez cifs, comme indiqué dans la capture d’écran suivante :

    Image localisée

  8. Si vous devez configurer l’accélération MAPI sur l’appliance Citrix SD-WAN WANOP, appuyez longuement sur la touche Ctrl et sélectionnez le service ExchangeDB.

  9. Cliquez sur OK. Les services que vous avez sélectionnés sont ajoutés à la liste Services auxquels ce compte peut présenter des informations d’identification déléguées, comme indiqué dans la capture d’écran suivante :

    Image localisée

  10. Cliquez sur OK.

  11. Fermez la fenêtre Utilisateurs et ordinateurs Active Directory.

Configurez un utilisateur délégué sur une appliance Citrix SD-WAN WANOP :

Après avoir configuré l’utilisateur délégué sur le serveur Active Directory, vous devez configurer cet utilisateur sur l’appliance Citrix SD-WAN WANOP, afin que l’appliance puisse présenter les informations d’identification déléguées de cet utilisateur au domaine. Cela permet à l’appliance d’optimiser activement le trafic réseau pour les fonctionnalités d’accélération CIFS et MAPI avancées.

Pour ajouter l’utilisateur délégué à l’appliance côté serveur :

  1. Accédez à l’onglet Configuration > Accélération sécurisée > Domaine Windows.

  2. Cliquez sur le bouton Joindre le domaine Windows, le cas échéant.

  3. Sous Utilisateurs délégués, cliquez sur Ajouter.

  4. Dans le champ Nom de domaine, spécifiez le nom de domaine. Il s’agit généralement du domaine que vous avez spécifié dans la section Domaine Windows.

  5. Dans le champ Nom d’utilisateur, entrez le nom d’utilisateur de l’utilisateur délégué.

  6. Dans le champ Mot de passe, spécifiez le mot de passe de l’utilisateur délégué.

  7. Cliquez sur Ajouter.

    Image localisée

Vérifiez que l’appliance a rejoint le domaine

Si, après avoir ajouté l’appliance au domaine, vous remarquez qu’elle n’optimise pas le trafic Windows sécurisé, une erreur peut avoir empêché l’appliance de rejoindre le domaine. Vous pouvez utiliser l’utilitaire Pre Domain Check pour savoir s’il y a des problèmes avec la connexion du matériel au domaine. Vous pouvez même exécuter cet utilitaire pour identifier les problèmes éventuels avant de tenter de joindre l’appliance à un domaine.

Pour vérifier l’utilisateur délégué :

  1. Connectez-vous à l’appliance Citrix SD-WAN WANOP côté serveur.

  2. Accédez à Configuration > Accélération sécurisée > onglet Windows.

  3. Cliquez sur le bouton Joindre le domaine Windows, le cas échéant.

  4. Sélectionnez un utilisateur délégué et cliquez sur Modifier.

  5. Cliquez sur Vérifier l’utilisateur délégué.

  6. Attendez que la vérification du domaine utilisateur délégué se termine et examinez les résultats.

    Image localisée