Projet DMZ

[dth]

Bonjour à Tous, <BR> <BR>voila un projet d'une construction de DMZ est en cours et je dois monté un dossier avec les coûts, le materiels necessaires etc ... <BR> <BR>Solutions pour l'interco des sites distants: <BR> <BR>1) un serveur IIS + Fortinet 400 (Firewall + Vpn) +accés Internet <BR>2) LS <BR>3) un serveur IIS + HTTPS Firewall +accéss Internet <BR> <BR>voila pour moi j' ai défendu la 2éme solution, mais c'est la troisiéme qui a été retenu. Car le moins chére des 2 autres (quelle bande de radin !! je peux pas faire joujou avec les vpns) <BR> <BR>donc je vais monter un firewall (dont je ne sais pas quoi prendre surement le moins chere ) et un serveur web IIS avec que le port 443 d'ouvert, et la je voudrais savoir car je me suis un peu embrouiller les pinceaux avec authentification et autorisation sur SSL/TLSv3. <BR> <BR>Peut on ""filtrer"" les utilisateurs en https via les certificats x509 et les défauts de cette architecture ???? <BR> <BR> <BR>Merci d'avance. <BR> <BR>

[Athanase]

Je vais essayer de répondre à ta question concernant le filtrage des utilisateurs sur le HTTPS avec un serveur IIS. <BR> <BR>Tu as plusieurs choix pour configurer la façon dont ton serveur IIS va gérer le SSL. Le premier truc est de choisir si tu fonctionne en mode authentification serveur uniquement ou si ti désire aussi authentifier le client (lui imposer de présenter un certificat X.509). Vu ta question, il semble que tu aies choisi la deuxième solution. Tu as alors plusieurs façons d'authentifier le client qui te présente un certificat X.509. <BR> <BR>La première option est de stocker le certificat de l'utilisateur dans Active directory et laisser ton serveur faire le lien entre l'utilisateur et son certificat. Dans mes souvenirs, cela marche très bien si tu utilises les Certificate Services de W2K. Ce qui est bien dans ce cas, c'est que tu profites aussi complètement des bienfaits de la PKI en cas de révocation du certificat d'un utilisateur (c'est peut-être à retester tout de même). <BR> <BR>L'autre technique est tout aussi simple à mettre en oeuvre et à l'avantage de ne pas nécessiter le stockage des certificats dans AD. En revanche elle me parait plus "dangereuse". Tu choisis de mapper les informations contenus dans un des champs du certificat avec les infos des utilisateurs du domaine. Imagine que le login windows de ton utilisateur soit contenu dans le certificat; le serveur IIS peut utiliser cette info du pour ouvrir sa session sur le compte correspondant au login contenu dans le certificat. <BR> <BR>Enfin, je te laisse fouiller un peu dans les options de IIS <IMG SRC="images/smiles/icon_biggrin.gif">