Page 1 sur 1

Problématique d'authentification serveurs IIS en DMZ

Publié : ven. 15 févr. 2013, 12:19
par jla
Bonjour à tous,

J'ai un problème technique à vous soumettre si vous le voulez bien : je souhaite publier un intranet sur Internet afin que mes collaborateurs puissent s'y connecter à distance à l'aide de leurs identifiants du domaine.

Du point de vue architecture, pour le moment j'en suis là :
Les serveurs IIS ne sont pas intégrés au domaine et sont isolés dans un réseau DMZ qui ne possède que très peu d'accès au LAN et donc aux contrôleurs de domaine.
Ces serveurs IIS sont publiés sur Internet par le biais de Forefront TMG 2010 qui est quant à lui intégré au domaine (lui même protégé derrière un pare-feu matériel).

Ainsi, lorsqu'un collaborateur accède à l'intranet, il peut se loguer sur le formulaire proposé par le TMG pour la publication du site mais derrière les serveurs IIS ne sont pas en mesure de vérifier le token forwardé par le TMG et donc ne parviennent pas à authentifier l'utilisateur.

Ce qui m'amène à me demander comment je peux réussir à authentifier mon utilisateur sur mes IIS en ouvrant le moins de potentielles brèches vers mon LAN ?

1. Pour parvenir à authentifier mes utilisateurs, les serveurs IIS doivent-ils forcément être joints au domaine ?
2. Si oui, est-ce préférable de déployer un contrôleur de domaine RODC en DMZ ?
3. En quoi la solution du RODC est-elle plus fiable que la solution de joindre les IIS au domaine et de leur laisser accéder au LAN pour authentifier l'utilisateur ? (à partir du moment où le RODC doit avoir accès au LAN pour checker l'authentification, la porte est ouverte de la même manière que si c'était le IIS qui s'adressait au DC dans le LAN, non ?)
4. J'ai entendu parler d'ADFS. Est-ce une solution à mon problème ? Je ne trouve que peu de documentation sur le sujet "ADFS pour l'authentification IIS en DMZ"... Si oui, ADFS versus RODC ?

Voilà déjà une bonne série de questions. Pour tout vous dire j'ai lu ce white paper : http://www.microsoft.com/en-us/download ... px?id=3957. Mais maintenant, j'ai du mal à voir quelle solution me conviendrait le mieux...

Si certains d'entre-vous pouvaient répondre partiellement à mes questions, je pense que ça m'aiderait à y voir plus clair ;)

Merci d'avance !