Jean-Benoit Paux's blog

Dans un domaine windows, on est authentifié pour quasiment tous les services via Kerberos sans avoir la moindre fenêtre de login/mot de passe nous demandant de nous authentifier.

Pourtant lorsqu’on veut ouvrir une connexion Terminal Services, on doit rentrer ses informations à chaque connexion.

Depuis Vista on peut cependant déléguer l’authentification pour utiliser ses informations directement (on ne se logue que sur la machine d’où le Single Sign On, appelé SSO pour les intimes). Cependant l’astuce ne fonctionne que pour se connecter à des machines sous Vista ou Windows Server 2008.

Voici la démarche : (vous pouvez le faire localement à une machine ou globalement aux machines du domaines) :

• Ouvrer gpedit.msc pour éditer la stratégie locale (ou ouvrez votre GPO)
• Paramètres machines (Computer Configuration)
• Modèles d’administrations (Administrative Templates)
• Système (System)
• Délégation d’informations d’identification (Credentials Delegation)
• Autoriser la délégation d’informations d’identification par défaut (Allow delegating default credentials)

Il faut maintenant :

• Cliquer sur Activer
• Ajouter les serveurs autorisé à recevoir l’information

Vous devez entrer les serveurs avec cette syntaxe : TERMSRV/fqdnDuServeur (et son nom court si vous voulez)

Vous pouvez entrer aussi TERMSRV/* pour vous connecter à l’ensemble des serveurs avec vos informations. (Attention, dans certains cas, vous ne pourrez plus préciser d’autres informations d’identification).

Vous pouvez aussi entrer TERMSRV/*.mondomain.local

Maintenant lorsque vous vous connectez à un serveur votre identité est entrée directement :

Si vous voulez plus d’informations (limitations, configuration pour TS Gateway) vous pouvez consulter cet article : http://blogs.msdn.com/ts/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

Post a Comment