Portail de réinitialisation de mot de passe

Cahier des charges:

Mettre en place un portail qui permet aux utilisateurs de réinitialiser leurs mots de passe en libre-service (Self-Service Password Reset : SSPR) de façon sécurisée.

Situation : le mot de passe d’un utilisateur a expiré, a été oublié ou alors le compte est verrouillé.

Avec le SSPR de LogonBox, cela peut être effectué de façon sécurisée à partir de l’écran de connexion Windows, de l’application mobile LogonBox ou d’un navigateur web.

Objectif : gain de temps pour les utilisateurs et pour le service support utilisateur. Le graphique ci-dessous permet de mettre en évidence le gain à rendre l’utilisateur autonome.

Avant la mise en place du portail, les utilisateurs devaient créer un ticket, attendre que le service support le traite pour enfin avoir de nouveau leurs accès.

Avec LogonBox, le service support n’aura plus de ticket créé pour compte verrouillé, compte désactivé ou oubli de mot de passe.

Sur le graphique, nous pouvons voir qu’il y a 301 tickets durant l’année 2021 venant des utilisateurs de la Cafat pour avoir de nouveaux leurs accès.



Pour réaliser ce projet, j’ai créé deux machines virtuelles (VM) avec Virtual Box :

  • La deuxième VM est une machine cliente sous Windows 10

    • Afin de ne pas perturber l’environnement de production et éviter tout effet de bord, j’ai effectué l’ensemble des mes actions sur un environnement dédié nommé « bac a sable ».

    L’objectif est d’améliorer la sécurité en empêchant toute interaction de logiciels malveillants externes, de pirates, de ressources système ou d’autres applications avec l’application protégée.

    Le terme renvoi au bac à sable des enfants, où le sable et les jouets restent à l’intérieur d’un récipient ou d’un espace clos.


    Pour mettre en place un portail de réinitialisation de mot de passe, j’ai utilisé l’application LogonBox qui est un fournisseur indépendant de logiciels.

    Il développe des logiciels pour aider les organisations à gérer et à sécuriser les identités et les informations d’identification des utilisateurs.

    Les solutions LogonBox réduisent les tickets du service support, augmentent la productivité, sécurisent l’accès dans des entreprises hétérogènes et protègent les ressources du réseau en étendant l’authentification au-delà du mot de passe comme les questions de sécurité, Google Authentificators, l’épingle, l’authentificateur LogonBox, etc.


    (https://www.logonbox.com/content/mfa pour plus de renseignement sur l’authentification multi facteurs)


    Les caractéristiques de LogonBox :

    Réinitialisation du mot de passe

    Permet aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe sans intervention du service d’assistance sur plusieurs systèmes, le tout à partir d’un seul compte.

    Réinitialisations à distance

    Réinitialisation basée sur le navigateur de n’importe où ou utiliser l’application LogonBox Authenticator pour changer le mot de passe à partir de l’appareil mobile de l’utilisateur.

    Base de mots de passe

    Evite les mots de passe répétés et non sécurisés en comparant le changement de mot de passe à une base de données de mots de passe faibles ou en l’intégrant à un serveur de mots de passe distant.

    Déverrouillage en libre-service

    Permet aux utilisateurs de déverrouiller leurs comptes sans aucune intervention du service d’assistance à partir d’une seule interface.

    MFA sécurisée

    Renforce la sécurité avec une authentification à plusieurs facteurs et à plusieurs étapes avant que les utilisateurs ne gèrent les mots de passe.

    Mes deux VM sont dans un réseau en 10.4.4.0.

    Après les avoir créés, je les ai mise dans un domaine que j’ai appelé « logon.lab ».

    Ci-dessous, un schéma d’architecture:

    Quand vous configurez une machine virtuelle, vous pouvez ajouter des adaptateurs réseaux et spécifier le type d’adaptateur.

    Sur mes deux VM, j’ai ajouté un « adapter Nat » et un « adapter réseau interne ».

    Ainsi, mon réseau « logon.lab 10.4.4.0 » est privé et « l’adapter NAT » permet aux machines de communiquer avec internet.


    Voici les configurations que j’ai attribuées à mes machines pour qu’elles puissent communiquer avec internet et être dans le même réseau.

    Pour la VM PC client, j’ai coché : « Obtenir une adresse IP automatiquement » et « Obtenir les adresses des serveurs DNS automatiquement » pour l’adapter NAT.

    Pour l’adapter Réseau interne:

     

    Pour la VM Serveur Active Directory :

     

    J’ai également coché « Obtenir une adresse IP automatiquement » et « Obtenir les adresses des serveurs DNS automatiquement » pour l’adapter NAT.

    Pour l’adapter Réseau interne:


    Le serveur DNS de mon PC client est l’IP de ma machine Virtuel Active Directory, comme elle fournit un service DNS, le PC client s’adresse à celle ci.

    Les cartes réseaux internes permettent que mes deux machines communiquent ensemble sans passer par un routeur. 

    Pour installer LogonBox sur mon PC client, je l’ai d’abord téléchargé sur mon PC physique puis mis dans un dossier partagé que j’ai pu récupérer sur ma VM cliente.

    Pour créer un dossier partagé, j’ai suivi ce tuto : https://lecrabeinfo.net/virtualbox-creer-dossier-partage-entre-hote-et-invite-windows-linux.html


    Pour l’installation du logiciel j’ai tapé LogonBox installation sur un navigateur de recherche.

    Pour ma part j’ai pris le programme d’installation Windows:

    Ensuite, compléter les informations demandées :

    Vous recevrez une licence qu’il faudra par la suite importer sur LogonBox



    Ensuite suivez ce tutoriel sur l’installation de LogonBox sous Windows: https://docs.logonbox.com/app/manpage/en/article/2658371



    Une fois l’installation faite, vous pouvez maintenant accéder à https://localhost  dans un navigateur Web et continuer avec l’assistant de configuration, comme détaillé ici : https://docs.logonbox.com/app/manpage/en/article/587274


    J’ai pu configurer mon compte administrateur et mettre la licence que logonbox m’avait envoyé lors de l’inscription.

    Pour connaitre le logiciel, j’ai regardé les démographies vidéos : https://www.logonbox.com/content/logonbox-demo/

    Ensuite j’ai connecté mon Active Directory à l’application.

    La première fois que j’ai mis en lien mon Active Directory et LogonBox, je n’ai pas activé le protocole SSL : un utilisateur ne pouvait pas réinitialiser son mot de passe car le logiciel veille à la sécurisation des flux, sans protocole SSL les paquets étaient en clairs sur le réseau et non sécurisés.


    Comment activer le protocole SSL sur LogonBox ?

    Pour ce faire, j’ai suivi ce tuto sur youtube qui explique comment configurer ldap sur ssl dans Windows server 2019 : https://www.youtube.com/watch?v=iaISVAW0QyA

    Cette première manipulation n’a pas marché alors j’ai testé ce tutoriel:

    https://docs.logonbox.com/app/manpage/en/article/416192/Enable-SSL-on-Active-Directory

    Après avoir suivi l’installation des rôles des services de certificats, voici comment délivrer un certificat :


    Etape 1 : Accéder à la fenêtre « Autorité de certificat »


    Etape 2 : Aller sur les modèles de certificats a gauche

    Une nouvelle fenêtre va s’ouvrir


    Etape 3 : Choisir Authentification Kerberos, faire un clic droit sur celui-ci et « dupliquer le modèle »

    Cette fenêtre va apparaitre et il faudra modifier quelques fonctionnalités comme les rôles, le chiffrement, la compatibilité, l’export de la clé privé, etc.


    Pour ma part, j’ai modifié :


    Ensuite, retourner sur la console autorité de certificat puis :


    Apres avoir fait cette manipulation, il faut accéder à cette interface, aller dans certificat, faire un clic droit, toutes les taches, demander un nouveau certificat puis choisir la copie du certificat que vous avez créé juste avant.

    Ensuite il faut importer le certificat.

    Personnellement, je l’ai mis dans le dossier partagé, je suis allée sur mon PC client, dans le logiciel logon box puis j’ai récupéré le certificat dans le dossier.

    Et enfin, j’ai pu activer le protocole SSL.



    Maintenant que la mise en place est faite, comment marche LogonBox ?


    Utilisation de LogonBox:

    Le Self-Service password reset (SSPR)

    Réinitialiser un mot de passe ou de débloquer un compte à partir de l’écran de connexion Windows, l’application mobile ou un navigateur web.

    Pour cela, l’administrateur de LogonBox doit configurer un schéma d’authentification qui va permettre d’identifier l’utilisateur qui veut réinitialiser son mot de passe ou débloquer son compte.

    Pour ce faire, il faut taper https://localhost/app/wizard/2fa dans l’URL du navigateur.

    Cette page va s’ouvrir:

    L’administrateur doit choisir quel type d’authentifications il veut instaurer aux utilisateurs pour la réinitialisation d’un mot de passe ou de déblocage d’un compte.

    Attention, si vous choisissez d’instaurer plusieurs modes d’identification il faut changer la valeurs du nombre minimum de méthodes d’identification:

     

    Pour ma part j’ai choisi d’instaurer les questions de sécurité, l’épingle (le code PIN) et google Authentificator.

    L’administrateur peut choisir d’instaurer plusieurs facteurs d’identifications aux utilisateurs mais il peut aussi en proposer 3 par exemple et mettre 1 en valeur du nombre minimum de méthodes d’identification qui permettra à l’utilisateur de choisir la méthode de son choix pour s’identifier.

    Une fois que l’administrateur a configuré ce schéma il peut envoyer un mail de notification à l’utilisateur pour l’informer du nouveau changement (les modèles de mail ce trouvent dans messages et modèles de messages.)

    Pour le schéma que j’ai configuré, je peux choisir le modèle de « Rappel de profil » qui notifiera à l’utilisateur qu’il doit compléter son profil (répondre aux informations d’identifications).

    Ainsi, si l’utilisateur à compléter son profil il pourra réinitialiser son mot de passe en cas de perte.


    Gestion intégrée des utilisateurs et des groupes AD


    Pour que LogonBox mette en lien mon AD et sa base de données afin d’intégrer tous les utilisateurs de l’AD a logonbox, il faut configurer la base de données comme expliqué ci-dessus.

    Une fois que la base de données est configurée, les utilisateurs de l’Active Directory vont apparaitre dans l’annuaire des utilisateurs.

    Le « + » permet de voir les informations de l’utilisateurs comme les caractères obligatoires du mot de passe, si la configuration de son profil est terminée (questions + épingle), à quel groupe il appartient ainsi que le rôle qu’il occupe.

    L’administrateur peut aussi créer un utilisateur sur l’interface LogonBox via le bouton create en bas à droite de la fenêtre de l’annuaire des utilisateurs.


    Maintenant parlons de ces icones :

    L’engrenage permet à l’administrateur de réinitialiser un mot de passe, débloquer un compte, supprimer un utilisateur qui a quitté l’entreprise, désactiver le compte, réinitialiser les réponses de sécurité, réinitialiser Google Authentificator, etc.


    Le crayon permet de voir en édition détaillée les propriétés de l’utilisateur comme le jour et l’horaire de ces dernières connexion, à quel groupe il appartient, ses rôles, son UPN, son nom commun, etc.

     

    Pour obliger les utilisateurs a renseigné leurs profils, il faut une intégration de bureau avec le fournisseur d’informations d’identifications Windows.

    Pour cela, j’ai suivi cette procédure : https://docs.logonbox.com/app/manpage/en/article/7142030

    Aller sur cette icone en haut à droite de la fenêtre administrateur:

    Cliquer dessus et téléchargé puis télécharger un des deux intégrations de bureau Windows.

     

    A savoir : .msi est un package d’installation qui sera traité par un exécutable du programme d’installation de Windows. Et le fichier .exe est un exécutable contenant le programme d’installation et les fichiers d’installation.

    Les packages msi sont généralement fournis aux administrateurs système qui auraient besoin de déployer le logiciel sur plusieurs terminaux sur un réseau.

    Les résultats ne sont pas différents de ceux obtenus avec un exécutable, mais les packages msi disposent parfois d’options supplémentaires telles que des installations silencieuses ou préconfigurées.

     

    Ensuite l’assistant d’installation va se lancer automatiquement et vous devez continuer à suivre les informations du tutoriel ci-dessus.

    Par la suite lors de la première connexion sur LogonBox, l’utilisateur sera obligé de configurer son profil.

     

    Une fois le compte configuré, l’utilisateur pourra réinitialiser son mot de passe ou débloquer son compte via LogonBox mais aussi via l’écran de connexion Windows :

    Il suffira simplement d’entrer le nom d’utilisateur et cliquer sur Forget your Password.