Authentification d'UltraVnc

Actuellement il y a trois méthodes d'authentification différentes disponibles pour UltraVNC :

• Authentification classique de VNC
• Mme-Ouverture I
• Mme-Ouverture II

L'authentification classique de VNC stocke un mot de passe sur la machine distante. En se reliant à la visionneuse, ce mot de passe doit être entré.

Les deux méthodes de Mme-Ouverture se fondent sur l'authentification d'ouverture de Microsoft Windows, c.-à-d. l'username et le mot de passe d'un compte de domaine ou de machine de Windows est employé pour l'authentification.

La Mme-Ouverture I limite les comptes d'utilisateur pour être dans le même domaine que le compte de machine, mais est disponible sur Windows 9x.
La Mme-Ouverture II tient compte de l'authentification de croix-domaine, mais travaille seulement à Windows NT, à 2000, à XP et à 2003.

Authentification classique de VNC

Documentation à faire.

Mme-Ouverture I

Avec UltraVNC l'accès de serveur de WinVNC peut être contrôlé using des utilisateurs, des domaines et des groupes de milliseconde fournis par la machine qui accueille ce serveur de WinVNC. Actuellement, des domaines de NT et les annuaires actifs sont soutenus. Des domaines d'enfant ne sont pas soutenus, utilisateur doit appartenir au domaine du serveur.

Droite - cliquer l'icône de WinVNC dans le plateau de système et choisir les « propriétés d'Admin ».

Dans le contrôle de page de propriétés d'Admin « exiger la Mme-Ouverture ».

Cliquer alors dessus « configurent des groupes d'ouverture de milliseconde ».
Voici que vous pouvez ajouter ou enlever des utilisateurs et des groupes ou changer leurs droites.

Quelques choses doivent être connues et configurées si vous voulez que cette fonctionnalité fonctionne très bien sur votre machine de serveur de WinVNC, et elle dépend de la version de Windows qui est employé.

Pour employer l'ouverture de milliseconde sous Windows 95, Windows 98, et édition de Windows Millennium, vous devez également permettre aux services de sécurité de NTLM en ouvrant le panneau de commande, le réseau, le contrôle d'accès, et puis choisir le contrôle d'accès User-level. La victoire 9.x exigent 2 dlls radmin32.dll et rlocal32.dll ceci peut être trouvé dans le nexus.exe.

Sous Windows Xp, la valeur d'enregistrement de ForceGuest est placée à 1 par défaut dans la clef suivante d'enregistrement :
HKEY_LOCAL_MACHINE \ SYSTÈME \ CurrentControlSet \ commande \ LSA

Sur un ordinateur de Windows Xp vous devez vérifier :
Si le compte d'invité est permis, une ouverture de SSPI réussira comme invité pour toutes les qualifications d'utilisateur.
Si ForceGuest est handicapé (placer à 0), SSPI ouvrira une session en tant qu'utilisateur spécifique.
Si l'utilisation authtest fait l'exposé d'invité bloqué, un compte ouvert d'invité est détecté et l'ouverture de Mme nie tout l'accès.

Mme-Ouverture II

Description

En plus de la première exécution de la Mme-Ouverture (la Mme-Ouverture I), la Mme-Ouverture II peut faire l'authentification de croix-domaine, c.-à-d. le compte d'utilisateur peut être dans un autre domaine que le compte d'ordinateur.

Appuis

• Windows NT, Windows 2000, Windows Xp et Windows 2003.
• Tout emboîtement possible des groupes et des utilisateurs.
• Différents modèles de nomination :
  • domaine \ utilisateur
  • user@domain.com (UPN, c.-à-d. nom principal d'utilisateur)

Conditions

• Sur Windows Nt4, vous avez besoin au moins de SP4 et du directeur de configuration de sécurité installé.
• Sous Windows Xp, la valeur d'enregistrement de ForceGuest est placée à 1 par défaut dans la clef suivante d'enregistrement :
  HKEY_LOCAL_MACHINE \ SYSTÈME \ CurrentControlSet \ commande \ LSA
  Si le compte d'invité est permis, une ouverture de SSPI réussira comme invité pour toutes les qualifications d'utilisateur.
  Si ForceGuest est handicapé (placer à 0), SSPI ouvrira une session en tant qu'utilisateur spécifique.
  Ainsi il est important de désactiver ForceGuest. Autrement toute l'autorisation est faite contre le compte d'invité !
• Arrangements de politique : L'authentification échouera si « nier l'ouverture à l'ordinateur du réseau » est permis pour un groupe que le compte d'ouverture est un membre de. Ceci s'applique aux deux arrangements locaux de politique aussi bien que des objets de politique de groupe.
  S'assurer ainsi que des comptes d'utilisateur utilisés pour l'authentification d'ouverture de milliseconde ne sont pas affectés par ces arrangements.

Configuration

Configuration manuelle

Droite - cliquer l'icône de WinVNC dans le plateau de système et choisir les « propriétés d'Admin ».

Dans le contrôle de page de propriétés d'Admin « exiger la Mme-Ouverture » et la « nouvelle Mme-Ouverture ».

Cliquer alors dessus « configurent des groupes d'ouverture de milliseconde ».
Voici que vous pouvez ajouter ou enlever des utilisateurs et des groupes ou changer leurs droites.

Interactive est "copie normale" où vous pouvez succéder la souris et le clavier. C'est un synonyme pour le plein contrôle.

La vue permet seulement au compte de regarder l'écran à distance, mais la souris et le clavier locaux ne peuvent pas commander l'écran à distance.

Configuration automatisée

Vous pouvez utiliser l'outil de MSLogonACL pour exporter l'ACL d'une machine et pour l'importer à l'autre.

Pour être examiné

Puisque MSLogon II est relativement nouveau et il y a de divers différents scénarios comment l'employer, nous encouragent tout le monde à partager leur expérience. Veuillez signaler vos résultats au forum de Mme-Ouverture d'UltraVNC.
Il y a un certain nombre de facteurs qui doivent être considérés : Différentes versions d'OS, si l'annuaire actif est employé ou des confiances à l'ancienne de NT, si des gens du pays ou les comptes basés par domaine sont employés, la convention de nomination qui est employée et divers emboîtement possible des groupes.

OS

WinNT, W2K, wXP, W2K3

Infrastructure

Avec/sans annuaire actif

Comptes

Utilisateurs de gens du pays et/ou de domaine/groupes

Nommer des modèles

utilisateur, machine \ utilisateur, domaine \ utilisateur, user@domain.com (UPN), groupe, domaine \ groupe

Domaines

(implique trusts/AD) utilisateur et/ou groupe dans d'autres domaines que l'ordinateur, groupes nichés au-dessus des domaines multiples

Bogues connus (non corrigés encore)

• Reportage d'erreur/élimination des imperfections à améliorer

Histoire

31. 01. 2005

Difficulté : Changer dans la détection de plate-forme pour appeler security.dll ou secur32.dll.
Maintenant aucune détection de plate-forme n'est faite du tout (semble mener aux problèmes sur NT4SP6a), au lieu de cela secur32.dll s'appelle. Si l'appel n'est pas réussi, security.dll s'appelle.

10. 12. 2004

Difficulté : Certains mots de passe (par exemple Abc0DefG) mènent à l'échec d'authentification.
(voir le http://forum.ultravnc.net/viewtopic.php?t=803)

08. 12. 2004

Difficulté : authSSP.dll changé à Unicode à tenir compte des chars prolongés (ä, ö, ü, ç, ß etc.) dans les mots de passe.
(voir le http://forum.ultravnc.net/viewtopic.php?t=1259)

29. 10. 2004

Difficulté : Noms de l'utilisateur avec l'échouer des espaces à charger avec l'outil de MSLogonACL.
(voir le http://forum.ultravnc.net/viewtopic.php?t=1046&highlight=#4025)

07. 10. 2004

Liste changée de groupes à un vrai ACL.
UI changé à la page de sécurité.
Outil supplémentaire d'importation/exportation pour l'ACL.

20. 08. 2004

Difficulté : Changer dans la détection de plate-forme pour appeler security.dll au lieu de secur32.dll sur NT 4.

04. 08. 2004

L'autorisation emploie maintenant le contrôle d'accès avec la marque de descripteur et d'accès de sécurité.
Seulement une tentative d'ouverture de Windows est exigée d'examiner l'authentification et l'autorisation.

25. 06. 2004

Premier essai.

MSLogonACL pour UltraVNC

Quel est MSLogonACL ?

Le but de MSLogonACL est de tenir compte des installations automatisées d'UltraVNC comprenant la configuration de droits d'accès pour la Mme-Ouverture II.

Avec la nouvelle fonctionnalité de Mme-Ouverture dans UltraVNC, les droits d'accès sont stockés dans un ACL (Access Control List). C'est une structure binaire qui tient une liste de SIDs (marques de sécurité) ainsi que la description que des droites sont accordé ou niée à chaque Sid.

L'ACL peut être édité par l'intermédiaire de la page de propriétés de VNC. Afin de tenir compte des installations automatisées de VNC une méthode est exigée pour configurer l'ACL de la ligne de commande. C'est le but de MSLogonACL.

Exportation d'un ACL

Dossier de MSLogonACL /e pour exporter vers le dossier.

Si le dossier est omis, les arrangements de sécurité sont imprimés à la console (stdout).
Les lignes commençant par le == sont corrigent l'information sur le stderr.

Importation d'un ACL

Le dossier de MSLogonACL /i /a pour apposer ACEs à l'ACL courant ou
Dossier de MSLogonACL /i /o pour recouvrir l'ACL courant
lecture de la configuration de sécurité à partir du dossier.

Format du fichier de configuration

permettre le domaine 0x3 \ compte
ou
nier le domaine 0x3 \ compte

0x1 est vue seulement, 0x3 est interactif et implique que vous pouvez également regarder l'ordinateur de bureau à distance.

le domaine peut être un nom d'ordinateur ou le nom d'un domaine.
Si le domaine n'est pas spécifié (comme nier le compte 0x3), Windows essaye d'assortir le nom de compte à des gens du pays ou à un compte de domaine.
On ne lui recommande pas d'omettre la pièce de domaine puisque ceci peut mener aux résultats inattendus.

le compte peut être nom de groupe ou username.

Si le nom de compte contient les espaces, l'expression de domaine \ compte doit être enfermée dans les guillemets :
permettre 0x3 « domaine \ compte »
Même si le nom de compte ne contient pas les espaces, les guillemets ne blesseront pas.

MSLogonACL a deux abréviations pour des domaines spéciaux :
un point pour dénoter le nom d'ordinateur et deux points pour dénoter le domaine de l'ordinateur :
. \ expliquer un compte local sur l'ordinateur
ou
. \ expliquer un compte dans le domaine de l'ordinateur.