locked
SSO pour acces au Portail RDWEB sous Win 2008R2 depuis XP Pro RRS feed

  • Discussion générale

  • Bonjour,

    Apres recherches et tests je n'arrive pas a utiliser le web sso je m'explique je souhaite que depuis mon poste client sous XP Pro SP3 avec rdc 7.0  je puisse connecter sans login/password a mon server rdweb.

    Le poste client se connecte bien au domaine, j'accède au portail RDWEB mais je dois m'authetifier a nouveau j'ai suivi ce tuto http://aidetse.free.fr/?p=70 ainsi que patché mon poste avec le KB 50588.


    Merci

    mardi 8 mars 2011 13:05

Toutes les réponses

  • Bonjour,

    Il faut déjà activer le CredSSP sur le XP SP3 pour l'authentification RDP ... Aprés il faudra avoir les bons certificats en place sur les serveurs RD et avoir crée une stratégie système pour déléguer les informations de sessions (voir sur mon site) pour que cela fonctionne.

     

     


    Eric Perromat [MVP Remote Desktop Services]
    mardi 8 mars 2011 13:07
  • Deja merci pour votre site et pour la reponse !!!

    Bon je viens de recommencer depuis une installation PC client propre avec SP3, rdc 7.0,  windows update du jour, et le patch fix IT (50588.msi http://support.microsoft.com/kb/951608/), cela ne fonctionne toujours pas mais c'est normal car je n'arrive pas a trouver sous XP pro dans la stratégie locale la "Délégation d’informations d’identification" afin d'autoriser la délégation d'authentification....

    Je continu mes recherches...

    Merci

     

    mardi 8 mars 2011 14:48
  • Sur XP il n'y a pas de GPO, il faut tout faire via le registre ... Tout est dans la fiche http://support.microsoft.com/kb/951608 =>

    Paramètres Stratégie de groupe CredSSP
    Le Service Pack 3 de Windows XP prend en charge les paramètres de stratégie de groupe CredSSP qui sont spécifiques à la délégation des informations d'identification telle qu'elle s'applique dans Windows Vista ou dans Windows Server 2008. Toutefois, les paramètres de stratégie de groupe CredSSP ne sont pas disponibles en tant qu'un objet de stratégie de groupe (GPO) dans Windows XP SP3. Les paramètres de stratégie de groupe CredSSP peuvent être appliqués en créant ou en modifiant les entrées du Registre pour le paramètre de stratégie de groupe CredSSP requis. Les entrées de Registre contiennent la liste des noms principaux de service (SPN) du serveur pour auquel s'applique le paramètre de stratégie de groupe associé. En outre, les entrées de Registre contiennent le numéro de série des serveurs.
    
    Pour plus d'informations sur les paramètres Stratégie de groupe CredSSP, visitez le site Web Microsoft suivant :
    .aspx http://msdn2.Microsoft.com/en-us/library/bb204773 (CSS) (http://msdn2.microsoft.com/en-us/library/bb204773(VS.85).aspx) 
    Les clés de Registre suivantes correspondent aux paramètres Stratégie de groupe :
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowDefaultCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowDefault
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials
    
    "<serial_no>"="<server spn="">" </server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowDefCredentialsWhenNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowDefNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowFreshCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowFresh
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowFreshCredentialsWhenNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowFreshNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowSavedCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowSaved
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowSavedCredentialsWhenNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_AllowSavedNTLMOnly
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :DenyDefaultCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_DenyDefault
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :DenyFreshCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_DenyFresh
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :DenySavedCredentials
    Valeur de données :1(activé)0(désactivé)
    
    REG_DWORD :ConcatenateDefaults_DenySaved
    Valeur de données :1(activé)0(désactivé)
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials
    
    "<serial_no>"="<server spn="">"</server></serial_no>
    Par exemple, supposons que vous souhaitez activer l'expérience de l'authentification unique lorsque vous utilisez des Services Terminal Server pour se connecter à un ordinateur Windows Vista ou sur un ordinateur Windows Server 2008 à partir d'un ordinateur Windows XP SP3. Dans ce cas, vous ajouteriez des entrées de Registre suivantes sur l'ordinateur Windows XP SP3 :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
    REG_DWORD :AllowDefaultCredentials
    Valeur de données :00000001
    
    REG_DWORD :ConcatenateDefaults_AllowDefault
    Valeur de données :00000001
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials
    
    «TERMSRV DE "=" 1 / *»

    Eric Perromat [MVP Remote Desktop Services]
    mardi 8 mars 2011 17:00
  • Merci pour cette piste mais malheureusement je ne m'en sors pas..... Voila ce que j'ai fait:

    ok - Windows XP Pro SP3, RDP 7.0, dans le domaine en administrateur

    Activation de CredSSP et ajout du serveur TS:

     

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
    "AllowDefaultCredentials"=dword:00000001
    "ConcatenateDefaults_AllowDefault"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
    "1"="termsrv/*"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
     00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
     6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
     00,73,00,70,00,6b,00,67,00,00,00,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,credssp.dll"
    
    
    
    Au final sous IE je dois toujours m'authentifier (j'ai aussi activer l'authentification windows sous IIS), si je récupéré un RDP d'une application publiée et que je l'édite j'ai bien mon login sur le domaine en grise en revanche quand j'exécute l'application il me demande a nouveau une authentification....

     

    Bref je tourne en rond.

    Si vous aviez une idée....

    Merci

     

    vendredi 11 mars 2011 14:59
  • Le weekend a aide... Un fichier RDP deployé fonctionne sur un PC XP Pro SP3 via l'authentification au niveau du domaine le problème était au niveau de mes "Paramètres de déploiement RemoteApp" en effet pour le serveur hôte il fallait mettre le nom du serveur et pas l'IP.

    En revanche via le portail RDweb je dois toujours m'authentifier pour l'acces aux icones des applications puis pour executer une application.

    Bon j'y retourne...

    lundi 14 mars 2011 11:11