UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Cas d'utilisation avancés > Installation et configuration de UserLock Anywhere

Installation et configuration de UserLock Anywhere

Dans de nombreux cas de travail à distance, les utilisateurs ne sont pas toujours connectés au VPN, et dans ce cas, l'agent de bureau ne peut pas communiquer assez souvent avec le service UserLock pour enregistrer les événements et appliquer l'authentification multifacteur et les restrictions contextuelles.

L'implémentation de l'agent Anywhere fournit une méthode alternative en permettant à l'agent de contacter le service via Internet lorsque la connexion réseau n'est pas établie. En faisant cela, l'agent de bureau communiquera avec le serveur UserLock au moment de la connexion sans avoir besoin de se connecter au VPN.

Cela permet à UserLock de refuser les connexions non autorisées au moment de la connexion. Pour forcer une fermeture de session à distance en raison d'une restriction, par exemple en imposant des heures d'ouverture de session sur les ordinateurs des utilisateurs distants, vous devrez utiliser un paramètre avancé. Ceci est expliqué à la fin de cette page.

Procédure

Prérequis

  • La fonctionnalité UserLock Anywhere doit être installée et configurée sur un serveur exécutant le serveur IIS. Voir les sections spécifiques ci-dessous.
  • Une adresse IP publique enregistrée dans un DNS pour le serveur IIS qui héberge UserLock Anywhere
  • Les rôles du Gestionnaire de Serveur suivants:
    • Serveur Web (IIS) / Sécurité / Authentification Windows
    • Serveur Web (IIS) / Développement d'applications / .ASP.NET 4.5
  • La fonction UserLock Anywhere doit être installée sur un serveur appartenant au domaine.

1. Installer la fonction UserLock Anywhere

La fonctionnalité UserLock Anywhere doit être installée sur le serveur IIS pour permettre à l'agent de contacter le service via Internet lorsque la connexion réseau n'est pas établie. Notez que cette fonctionnalité n'est pas installée si vous avez choisi «Standard» lorsque vous installez UserLock.

  1. Connectez-vous au serveur IIS sur lequel vous souhaitez installer UserLock Anywhere.
    • Si UserLock est déjà installé, ouvrez le Panneau de configuration Windows, cliquez sur "Désinstaller un programme", sélectionnez UserLock et cliquez sur modifier

    • Si UserLock n'est pas déja installé, lancez l'exécutable d'installation de UserLock et choisissez le mode "Personnalisé".

  2. Déployez l'option «Applications Web», cliquez sur «UserLock Anywhere» puis «La fonctionnalité sera installée….»

  3. Si aucune application IIS n'est protégée par UserLock sur ce serveur et que vous souhaitez configurer uniquement UserLock AnyWhere:

    • Exécutez la console UserLock. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS sur lequel vous souhaitez installer UserLock Anywhere. Cliquez avec le bouton droit et sélectionnez "Installer", cela déploiera le(s) nom(s) de serveur UserLock dans le registre de ce serveur.
    • Connectez-vous au serveur IIS cible et exécutez Regedit. Supprimez la clé de Registre suivante :

      HKEY_LOCAL_MACHINE \ SOFTWARE \ ISDecisions \ UserLock \ IIS \ Volatile

    REMARQUE: si l'agent IIS est déjà installé sur le serveur pour protéger une application IIS, cette étape peut être ignorée.

2. Ajoutez l'application UserLock Anywhere dans IIS

Pour ajouter UserLock MFA dans IIS il existe trois possibilités. Vous pouvez l'installer avec l'assistant de configuration (12.1 beta seulement), l'outil de ligne de commande ou via la console IIS Manager.

2.1 L'assistant de configuration (12.1 beta seulement)

  1. Lancer l'assistant de configuration en le recherchant dans le menu Démarrer. Dans la section UserLock Anywhere cliquez sur « Configurer ».

  2. L'assistant vérifie si tous les composants Windows sont installés. Si certains sont manquants, vous serez invité à les installer.

  3. Choisissez le site web dans lequel vous voulez que l’application web soit ajoutée.

  4. Une fois l'application installée avec succès, vous devez insérer l'URL de cette application dans la section Générale des propriétés du serveur UserLock.

2.2: Via l'outil de commande en ligne

Pour l'installer avec l'outil de ligne de commande :
Executer le programme (%ProgramFiles(x86)%\ISDecisions\UserLock\UserLockInstaller)

2.3 Via la console IIS Manager

  1. Dans IIS Manager, créez un nouveau pool d'applications avec les paramètres suivants:
    • Nom: "UserLockProxyAppPool"
    • .NET CLT version: .NET CLR version v4.0.30319
    • Mode pipeline géré: Intégrée

  2. Accédez à Paramètres avancés / Modèle de processus / Définissez la valeur «Load User Profile » à True

  3. Au niveau du site Web par défaut, créez une nouvelle application qui utilise le pool d'applications précédemment créé:

  4. Configurez cette application avec le dossier Userlock Anywhere sous le dossier d'installation UserLock. Par défaut: "% ProgramFiles (x86)% \ ISDecisions \ UserLock \ Webproxy". Cliquez sur OK pour continuer

    NOTE: Si vous utilisez le mode délégué, veuillez vous référer aux prérequis ci-dessous.

  5. Sélectionnez Paramètres de l'application / Authentification:
    • Désactivez "Authentification anonyme"
    • Activez "Authentification Windows"

Mode délégué

Si le serveur IIS n'est pas hébergé sur le même serveur UserLock, la délégation doit être activée.

Prérequis:

Une installation personnalisée de UserLock est nécessaire sur le serveur délégué (le même que celui où IIS est installé), en utilisant le même fichier exécutable que pour le serveur UserLock principal, cependant la seule fonctionnalité à installer doit être UserLock Anywhere.

  1. Dans «Utilisateurs et ordinateurs Active Directory», ouvrez les propriétés de la machine sur laquelle se trouve le serveur IIS.
  2. Ouvrez l'onglet Délégation.
  3. Sélectionnez «Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement» et «Utilisez n'importe quel protocole d'authentification". Cliquez sur "Ajouter ...".

  4. Cliquez sur "Utilisateurs ou ordinateurs ..." et recherchez la machine sur laquelle se trouve le serveur UserLock.
  5. Sélectionnez le type de service "cifs" et cliquez sur "Ok".

En option

Si vous souhaitez accélérer le processus de contact vers UseLock Anywhere lorsque l'agent n'a pas de connexion directe avec le serveur UserLock, nous vous conseillons de déployer le nom FQDN du serveur UserLock à l'aide d'une stratégie de groupe, comme expliqué ici.

Cela permettra à l'agent de supprimer la connexion au serveur UserLock plus rapidement et de changer l'alternative via Internet vers UserLock Anywhere.

3. Ajouter l'URL dans les Propriétés Serveur

Exécutez la console UserLock. Ouvrez le menu Propriétés du serveur, dans l'onglet Général, entrez le chemin d'accès à l'URL externe.

4. Assurez-vous que sur les ordinateurs cibles, l'agent de bureau est installé et que l'URL UserLock Anywhere est déployée

Pour que UserLock Anywhere fonctionne sur un ordinateur cible, l'agent Station doit être installé et l'URL doit être enregistrée.

Une fois UserLock Anywhere configuré, UserLock déploiera son URL sur tous les ordinateurs du site.

Pour les ordinateurs sans connexion réseau, vous devrez déployer cette URL. Pour ce faire, deux manières différentes :

  • Création manuelle de la valeur de registre :
    Ouvrez le registre sur la machine cible.
    Accédez à la clé 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
    Créez la valeur de registre 'UserLockInternetUrl' (type REG_SZ) et écrivez dans son contenu l'URL.
  • Ou déployez l'URL à l'aide d'une stratégie de groupe comme expliqué ici.

5. Testez la connexion UserLock Anywhere

Un test simple peut être effectué pour confirmer que UserLock Anywhere fonctionne; entrez simplement dans un navigateur l'URL saisie à l'étape 6. ci-dessus (définie dans Propriétés du serveur, dans l'onglet Général).

Vous devriez recevoir une confirmation que le service est accessible:

Déconnecter et verrouiller les sessions utilisateur via Internet

Cette fonctionnalité, disponible depuis UserLock 11.0.1 et basée sur UserLock Anywhere, peut être activée en configurant le nouveau paramètre avancé "SessionsWithoutNetworkLogoffAgentInternet" (depuis la console UserLock, appuyez sur la touche du clavier F7 pour afficher la boîte de dialogue des paramètres avancés). Cela permet de respecter les restrictions horaires ou les quotas de temps, même si un ordinateur n'est pas connecté au réseau de l'entreprise.

Configurez "SessionsWithoutNetworkLogoffAgentInternet" avec le nombre de minutes que l'agent Station attendra entre chaque demande de la liste des sessions avec lesquelles interagir. Nous vous recommandons de ne pas configurer avec moins de 10 minutes afin de ne pas augmenter la charge de travail de UserLock. Par défaut, cette fonctionnalité est désactivée (-1). Si nécessaire, ce paramètre peut être configuré via des stratégies de groupe (voir ici pour plus de détails).

Résolution des problèmes

Que faire si les connexions sont lentes avec UserLock Anywhere

Il est possible que les connexions aux stations de travail utilisées à domicile par des utilisateurs finaux et via UserLock Anywhere montrent des lenteurs après avoir entré le mot de passe et avant et après avoir saisi le code MFA.

Cela est dû à un problème de mise en cache des entrées DNS qui n'existent pas dans les serveurs DNS du Fournisseur d'accès à Internet utilisés par la box.

Une façon de résoudre ce problème est de modifier la configuration les serveurs DNS de la box, par exemple en configurant les serveurs DNS Google (8.8.8.8 et 8.8.4.4). Parfois la box fait office de proxy DNS, auquel cas il faut mettre les serveurs DNS (serveurs DNS Google par exemple) dans les paramètre du serveur DHCP de la box.