Même si Windows Azure Pack est un produit disruptif, il s’appuie quand même sur un certain nombre de composants de la gamme System Center pour la partie IAAS:

• System Center Service Provider Foundation
• System Center Virtual Machine Manager 2012 R2
• System Center Operation Manager 2012 R2

Microsoft a mis à disposition le Rollup 4 pour System Center 2012 R2. Cela comprend donc les Rollup suivants :

• System Center Data Protection Manager 2012 R2 (KB3009516)
• System Center Operation Manager 2012 R2 (KB2992020)
• System Center Service Manager 2012 R2 (KB2989601)
• System Center Service Provider Foundation (KB2992021)
• System Center Service Reporting (KB2992025)
• System Center Virtual Machine Manager 2012 R2 (KB2992024)

Bref, que des produits qui ont ou peuvent entrer en relation avec Windows Azure Pack. Mais il y en a aussi spécifiquement pour Windows Azure Pack :

• Rollup 4 for System Center 2012 R2 and Azure Pack (KB2992027)
• Update Rollup 4 for Windows Azure Pack Web Sites Version 2 (KB2992029)

Le Rollup 4 de Windows Azure Pack intègre une correction pour un problème qui a eu le don de l’irriter. Il corrige un problème avec la KB 2990942, une mise à jour du mois d’Octobre 2014.

Bref, il tombe à pic ce Rollup 4 pour Windows Azure Pack. Au passage bien lire la note.

BenoîtS – Simple and Secure by Design but Business compliant

It’s UAG Patching day today. Microsoft just released update 1 for Service Pack 4 of Forefront UAG 2010 (KB2922171). many fixes but also some improvements for Exchange 2013 and SharePoint 2013. Here is the list of included fixes :

• KB2997481 : FIX: You are not authorized to access applications published through Forefront Unified Access Gateway
• KB2997483 : FIX: Source IP and user name missing from Event ID 14 in the Web Monitor log file
• KB2997485 : FIX: "An unknown error occurred while processing the certificate" error when you access an application that is hosted on an Apache web server
• KB2997486 : FIX: The Forefront Unified Access Gateway portal may be unavailable
• KB2997487 : FIX: "You have attempted to access a restricted URL" error when you try to access OWA and are close to the idle session time-out period
• KB2998352 : FIX: "Your client does not support opening this list with Windows Explorer" error when you try to open a SharePoint document library
• KB2998733 : FIX: You cannot start a RemoteApp application when its name contains accented characters
• KB2998739 : FIX: The VPN connection disconnects immediately when a Unified Access Gateway 2010 client uses SSTP
• KB2998752 : FIX: "Authentication failed" error when you try to log on to Unified Access Gateway by using the UPN format
• KB2998769 : FIX: Exception occurs when you use the Export2Tspub application to export the configuration to a .tspub file
• KB3003977 : FIX: "Sign-in Error" errors for Internet Explorer 11 clients when they access a Unified Access Gateway portal trunk that has ADFS 2.0 authentication
• KB3004023 : FIX: Client connections for Form-based SSO fail authentication in Forefront Unified Access Gateway 2010 SP4
• KB3006827 : FIX: Forefront Unified Access Gateway 2010 template improvements for SharePoint Server 2013
• KB3006828 : FIX: Forefront Unified Access Gateway 2010 template improvements for Exchange Server 2013
• KB3006892 : FIX: Windows Firewall is detected as running after a third-party firewall is installed on a computer that is running Forefront Unified Access Gateway 2010
• KB3006938 : FIX: Soft lockout does not apply if Outlook Anywhere uses KCD for SSO to Exchange Server
• KB3006940 : FIX: Portal toolbar is not displayed in Forefront Unified Access Gateway 2010
• KB3007519 : FIX: "Bind the source IP address to the session" option does not work correctly in Forefront Unified Access Gateway 2010
• KB2997456 : FIX: French client access to Unified Access Gateway trunk by using two-factor authentication fails when user password nears expiration
• KB2997493 : FIX: "Invalid URL path" error when an external user tries to connect to a shared calendar
• KB3007842 : FIX: "The website cannot display the page" or "HTTP 500" error if the first user logon is unsuccessful
• KB3009885 : FIX: Applications that use the Socket Forwarder component may stop responding in Forefront Unified Access Gateway 2010
• KB3009904 : FIX: "You cannot access this site due to an internal error" error when you log on to Outlook Web App again

At last, if not already done, don’t forget to fix the SSLV3 flaw. My valuable MVP colleague Richard HICKS published an excellent article on this subject.

BenoîtS – Simple and Secure by Design but Business compliant

Depuis le début, je parle de token JSON. Le problème, c’est que jusqu’à maintenant, on en a pas encore vu la trace. Et pour cause, c’est pas activé par défaut et c’est pas configurable via l’interface graphique. Voyons un peu les commandes Powershell disponible pour le module ADFS.

Explorons la liste de nos partenaires de confiance.

Vu que nous sommes sur un serveur Windows Server 2012 R2, il est logique de trouver le Device Registration Service, module bien connu pour ceux qui ont joué avec Workplace Join. On retrouve aussi le partenaire que nous venons de configurer. Allons explorer sa configuration en détail.

On découvre deux choses. Premièrement, lors de l’importation du fichier de Metadata, il a bien importé le STS du module ‘Portal Admin Site’ identifiable par "http://azureservices/AdminSite". Deuxièmement, les tokens JSON ne sont pas activé. Or nous en avons besoins, c’est le formalisme utilisé par Windows Azure Pack et son grand frère Microsoft Azure. Ces tokens présentent l’avantage d’être assez simple pour tenir dans un entête HTTP. D’un point de vue structure, ils sont plus léger que le SAML traditionnel. On as assez d’information pour changer cela. Si on a un "Get", alors on doit avoir un "Set", faut juste être capable de bien désigner notre objet à actualiser.

Nous en avons fini avec la partie ADFS. c’était pas si difficile. Et si on s’attaquait au gros du morceau? Reconfigurer le portail "Admin portal site" pour utiliser notre ADFS tout prêt à générer des tokens JSON.

Jusqu’a maintenant, j’étais gentil.

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Parler d’authentification basée sur ADFS c’est bien, le mettre en œuvre, c’est mieux. Rentrons dans le vif du sujet. Bienvenu dans le premier des sept cercles de l’enfer Windows Azure Pack / ADFS. Pourquoi sept et pas neuf? Juste pour ne pas faire fuir le lecteur.

J’ai bien des idées pour arriver à neuf mais ce serait pas raisonnable. Avec l’intégration de Multi-Factor Authentication et Microsoft Azure Access Control, on pourrait y arriver mais j’hésite. Cette série de billets sera déjà assez disruptive pour ne pas en plus mêler le grand frère Microsoft Azure à l’histoire. Mais ce seront des sujets qu’on ne pourra pas négliger pour nos locataires.

Un peu d’architecture

L’annuaire Active Directory de l’infrastructure utilisé par ma plateforme Windows Azure Pack est situé dans une zone réseau isolée. C’est un service partagé par un certain nombre de composants de ma plateforme et qui n’a pas besoin d’être accessible par mes locataires. La bonne pratique est de placer le rôle ADFS sur un serveur dédié de tel manière qu’il soit aisé d’ajouter d’autres serveurs à la ferme (impliquera donc une base SQL dédiée, un certificat Web SSL avec clé privée exportable, …). Voila pour l’architecture.

Vous reprendrez bien des certificats?

Encore, ben oui. Qui dit ADFS dit web service exposé à sécuriser donc certificat SSL à prévoir. Première question : l’autorité émettrice, est-elle publique ou peut-elle être privée? Vu que nos utilisateurs seront les administrateurs de notre plateforme Windows Azure Pack. On pourrait se contenter d’un certificat émis par une autorité de certification privée. Cependant que se passera t’il lorsque nous voudrons offrir un service d’authentification par fédération à nos locataires? Pour cette raison, je recommande une autorité de certification publique, nativement reconnue de tous.

Dans mon contexte, j’ai fait au plus simple : un certificat serveur SSL (gabarit "Web Server" délivré par mon autorité de certification interne). J’ai juste personnalité le gabarit du certificat pour autoriser l’export du certificat avec sa clé privée. C’est essentiel si on veut pouvoir installer le serveur sur d’autre futurs serveurs de la ferme ADFS.

Mise en place ADFS

L’installation du rôle ADFS n’est qu’une succession de click-next, rien de bien passionnant. La seule chose importante est qu’ADFS doit impérativement être mis en œuvre sur une plateforme Windows Server 2012 ou supérieure. C’est nécessaire pour le support de JWT (JSON Web Token). Ca y est, ca pique déjà.

Une fois le processus d’installation terminé, reste plus que la configuration de la ferme de fédération ADFS. Avant de commencer, assurez-vous que le certificat d’authentification serveur SSL nécessaire est bien présent dans le magasin personnel de votre serveur.

Vu que c’est le premier serveur de la ferme, il faut configurer celle-ci dans son intégralité.

Tout est dit dans l’illustration ci-dessous, elle se passe de commentaire.

Mon certificat est bien présent dans le magasin personnel de mon serveur ADFS01.Windowsazurepack.lan. Ma fédération va avoir un nom FQDN. Normalement, c’est le nom inscrit dans le certificat (ADFS.windowsazurepack.lan). Si ce certificat est un wildcard, il faut alors compléter l’information. Le "Display Name", c’est ce que nous allons présenter à nos locataires lors de leur connexion au portail d’administration de Windows Azure Pack.

Un détail, si nous utilisons un certificat délivré par notre autorité de certification, le gabarit "Web Server" par défaut n’autorise pas l’export de la clé privée. Cela implique donc qu’on ne pourra pas (avec ce certificat) ajouter un nouveau serveur à la ferme. N’oubliez pas ce point lorsque vous remplissez votre demande de certificat auprès de votre fournisseur habituel.

Mon infrastructure ADFS va opérer dans le contexte d’un compte de service. On va exploiter la fonctionnalité Managed Service Account pour se simplifier la vie, pas de mot de passe à maintenir pour ce compte de service.

La configuration d’ADFS est stockée dans une base SQL. J’aurai pu choisir d’utiliser une instance de Windows Internal Database mais cela veut dire aussi que si je perds ce serveur, je perds aussi mon ADFS. J’ai donc choisi d’héberger la base sur un serveur SQL déjà existant. Les puristes me reprocheront de ne pas avoir mis en œuvre une instance SQL dédiée sur un SQL 2012 en High Availability mais, je manque de place sur ma maquette. Y a déjà près de 168go hébergés et j’ai encore besoin de place.

On en a fini avec la configuration initiale d’ADFS. Les puristes du PowerShell peuvent se divertir pendant l’installation en parcourant les commandes Powershell qui vont être exécutées. Dans mon cas, ce sera la commande Install-AdfsFarm.

Aucun problème au niveau des prérequis (ma Root Key pour GMSA est bien répliquée vers tous les contrôleurs de domaine depuis plus de 10 heures). Go!

C’est fini pour l’installation d’ADFS.

Vu que j’ai beaucoup galéré avec ADFS (4 ans sans pratiquer, il a bien changé le machin), j’avais besoin d’avoir des logs un peu plus verbeux que par défaut. Un rapide petit tout dans le module PowerShell et on a une première idée de ce qui sera journalisé out of the box.

Pas de trace des éventuels succès ou échecs d’authentification. On va donc y remédier, toujours en PowerShell.

Pour les amateurs de l’interface graphique, voilà de quoi on parle.

Voilà pour la mise en œuvre d’ADFS sur ma plateforme Windows Azure Pack. Prêt pour le prochain cercle de l’enfer? La prochaine fois, on va parler de partenaire de confiance. En attendant, quelques lectures qui m’ont bien aidé :

• http://www.maximerastello.com/adfs-3-0-windows-server-2012-r2-erreur-1297-service-adfs
• http://jorgequestforknowledge.wordpress.com/2013/07/08/enabling-auditing-of-issued-claims-in-adfs-v2-x-and-adfs-v3-x/

On notera que j’ai été sympa, j’aurai pu scripter toute la configuration en PowerShell. Ne vous réjouissiez pas trop vite, dès qu’on va revenir dans Windows Azure Pack, on replongera dans Powershell. On n’aura pas le choix.

Mais pourquoi est-il si méchant?

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Vous avez aimé « Windows Azure Pack–Les APIs publiques des locataires« ? Parfait. Ce n’était que la surface des choses. Maintenant on va rentrer dans le dur. Les premiers services que notre plateforme Windows Azure Pack doit fournir ce sont l’authentification (qui accède à la plateforme) et l’autorisation (quel privilèges/rôles). Le premier périmètre qui nous intéresse c’est les exploitants. Pour cette population, faut faire mieux que la configuration par défaut. On verra plus tard que pour les locataires, ca partira sur les mêmes bases.

Quelques rappels pour commencer

Notre maquette évolue. Ci-dessous les composants installés et les URL et ports tel que configurés à ce stade suite au billet Windows Azure Pack–Les APIs publiques des locataires :

Donc, pour nos exploitants, ce qui va nous intéresser c’est :

• L’Admin portal
• L’Admin Authentication Site

A partir de maintenant, on passe en mode disruptif. Scoop, on ne va pas parler d’authentification Windows IIS intégrée comme nous l’avons toujours connue avec les produits Microsoft, tout du moins pas comme on en avait l’habitude. Pour illustrer mon propos, voilà ci-dessous une vue simplifiée du processus d’authentification pour les exploitants d’une plateforme Windows Azure Pack.

Lorsqu’un utilisateur se connecte au portail, ce dernier ne trouve pas de token (On me parle d’ADFS? Pas encore, ça viendra bien assez tôt). Le portail redirige donc vers le Security Token Server (STS) dédié à l’authentification des exploitants (Admin Authentication Site). C’est ce module qui est chargé de délivrer un JSON Web Token. Une fois l’authentification réalisée, l’utilisateur est redirigé vers le portail pour lui présenter son jeton d’accès. Le portail va alors solliciter le module « Admin API » et lui soumettre le jeton qui sera resoumis au Security Token Server (STS) pour déterminer les autorisations effectives de l’utilisateur. Dans ce processus standard, le STS va exploiter l’annuaire Active Directory pour obtenir les services d’authentification et d’autorisation. Normalement, ce stade, j’ai perdu personne. C’est assez disruptif comme démarche non? Pas assez? OK, alors on va mettre les doigts dans la prise électrique et voir ce que cela donne, …

Mettre les doigts dans la prise

D’un point de vue sécurité, le processus par défaut est pas mal, mais peut mieux faire :

• Où est l’authentification forte?
• Peut-on minimiser l’exposition de l’annuaire Active Directory?
• Est-on obligé d’avoir un annuaire Active Directory?

Pour améliorer la chose, on va introduire ADFS dans l’histoire. C’est là que ça va se compliquer dans la cinématique d’authentification.

Jusqu’à maintenant, du point de vue de Windows Azure Pack, le partenaire de confiance pour l’authentification des administrateurs était directement Active Directory via le module « Admin Authentication Site ». Cela implique que nos utilisateurs avaient nécessairement un compte utilisateur dans un annuaire Active Directory.

Ce que nous allons faire, c’est court-circuiter ce module pour que le module « Admin portal » sollicite directement le partenaire de confiance que sera ADFS (Security Token Provider). C’est ce dernier qui va se charger de construire le token JSON et non plus le module « Admin Authentication Site ». C’est aussi simple que cela.

ADFS va devenir un partenaire de confiance de Windows Azure Pack au point de lui déléguer ses fonctions d’authentification et d’autorisation. C’est lui qui va nous fournir les capacités suivantes :

• Prise en charge de l’authentification forte (Multi-Factor Authentication)
• Prise en charge de plusieurs annuaires Active Directory (sans besoin de relation d’approbation)
• Authentification auprès d’autres source qu’Active Directory (ADLDS, base SQL, …)

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Windows Azure Pack c’est bien, même très bien surtout pour une première version. Pourtant, il a de quoi faire peur lorsqu’on l’observe pour la première fois (J’ai encore pas mal de billets en stocks sur le sujet).

Windows Azure Pack, c’est un peu comme le Tardis, c’est plus grand à l’intérieur qu’il n’y parait, et c’est vrai! En plus, en terme d’approche, le produit est pas mal disruptif, il ne ressemble pas aux autres produits Microsoft que nous connaissions jusqu’à maintenant. Il faut dire qu’il a de qui tenir puisque son objectif n’est ni plus ni moins de d’apporter les technologies de Microsoft Azure dans votre Datacenter.

C’est pour simplifier la mise en œuvre de Windows Azure Pack que Microsoft a lancé l’initiative Cloud Plateform System en partenariat avec Dell (c’est le premier partenaire, il y en aura d’autres). L’objectif est de fournir une plateforme clef en main. Dell et Microsoft ont collaboré pour livrer un “Stamp” comprenant à la fois compute, storage et network. C’est le bloc de base qu’on va assembler.

Du point de vue matériel, notre bloc de base, c’est quand même :

• 512 cœurs (dual socket Intel Ivy Bridge, E5-2650v2 CPU) répartis entre 32 serveurs
• 8 To de mémoire vive avec 256Gb par serveur
• 282 To de stockage utilisable (Storage pool, SMBv3, …)
• 1360 GB/s de connectivité dans le rack
• 560 GB/s de connectivité entre les racks (on peut assembler jusqu’à 4 racks)
• Jusqu’à 60GB/s de connectivité vers le monde extérieur

Bref, vous m’en mettrez deux .

Ce “Stamp” est livré préconfiguré avec Windows Azure Pack. De mon point de vue l’offre est intéressante car :

• On se décharge du design du Stamp, c’est du standard
• Le support Microsoft sera l’interlocuteur unique, y compris pour le matériel Dell
• On se concentre sur l’offre que l’on veut concevoir et non sur la technique sous-jacente

C’est une excellente nouvelle pour faciliter l’adoption de Windows Azure Pack.

BenoîtS – Simple and Secure by design but Business compliant

Avec le cycle "Rapid release" de Microsoft ces derniers temps pour les produits "On premise", on pourrait penser que Microsoft oublie un peu ses systèmes "Legacy". On parle ici de Windows 7 et Windows Server 2008 R2, des OS pas si vieux que cela. Pourtant entre temps, on a déjà eu droit à :

• Windows 8 / Windows 2012
• Windows 8.1 / Windows Server 2012 R2
• Et bientôt Windows 10 preview / Windows Server 10 preview

Donc oui, Windows 7, c’est super véritablement un OS "Legacy" pourtant, il a encore une belle vie devant lui.

Même si Microsoft pousse en avant ses nouveaux systèmes d’exploitation et les nouvelles fonctionnalités de sécurité, il n’en oublie pas moins les systèmes "legacy". Ce mois-ci, dans le cadre du processus de livraison mensuel des correctifs, Microsoft a mis à disposition :

• Une mise à jour pour la prise en charge de SHA2 (KB2949927)
• Une mise à jour pour la prise en charge de TLS pour le protocole EAP (KB2977292)

Initialement, ce sont des fonctionnalités de sécurité qui sont disponibles que depuis Windows 8. C’est un mouvement intéressant de la part de Microsoft, l’éditeur n’oublie pas le système d’exploitation les systèmes d’exploitation les plus déployés.

Note : En date du 17/10/2014, Microsoft a retiré le correctif KB2949927. Il semblerait qu’il soit source de problèmes rencontrés par certains utilisateurs suite à son installation. On attendra donc un peu avant de pouvoir le déployer.

BenoîtS – Simple and secure by design but business compliant

Attention, âmes sensibles, arrêtez vous ici. j’y ai laissé une boite d’aspirine et des nuits sans sommeil. Si vous n’êtes qu’un locataire d’une plateforme Windows Azure Pack, passez votre chemin. Par contre, les exploitants sont invités à rester enfermé dans la salle des tortures de mon donjon avec moi.

Maintenant qu’on a quelque chose de présentable du point de vue end-user, intéressons-nous à ce que nous présentons sous la moquette. Le portail, c’est bien mais pour nos clients, des services cloud, c’est bien plus qu’un portail, c’est aussi un jeu d’API exposé pour consommer les services. C’est un sujet que j’avais volontairement exclus du billet précédent car je voulais y consacrer un billet pour explorer à la fois la partie serveur mais aussi cliente. On verra qu’il y a beaucoup de parallèles avec son grand frère.

Partons de l’expérience de notre locataire

Lorsque nos locataires se connectent sur le portail, voilà l’interface qui leur est présentée. S’il dispose déjà d’un compte sur la plateforme, il peut s’authentifier. Les mécanismes d’authentifications feront l’objet de plusieurs billets (c’est presque un monde à part).

Pour ceux qui se posent la question et ne peuvent pas attendre les prochains billets, ce compte a été créé par WAP dans sa base SQL. Ce ne sont pas des comptes AD. Coté utilisateur, on peut aussi lui proposer de créer son propre compte. Celui-ci ne sera actif qu’après validation.

C’est un choix du fournisseur de la plateforme de Windows Azure Pack. Plus généralement, Windows Azure Pack propose des fonctionnalités pour gérer le cycle de vie des comptes de ses locataires (réinitialisation de mot de passe, vérification de compte, …).

A mon sens, ce n’est pas une bonne idée de laisser les utilisateurs se créer leurs propres comptes ainsi. Les informations fournies par l’utilisateur sont très minimalistes. En tant que fournisseurs de service, on ne dispose pas assez d’informations pour savoir à qui adresser la facture. Des mécanismes de notification peuvent être activés (envoi de mail de confirmation, …). Bref, c’est pas si mal que cela pour une V1. J’ai hâte de voir la V.Next.

Dans le cas présent, j’ai déjà un locataire (oui il a fuit lâchement mais on le torturera plus tard, …) sur ma plateforme, et il a souscrit à un plan.

Nous avons donc un client provisionné, il peut utiliser son portail ou accéder directement à l’API publique lui permettant de manipuler son tenant.

Un peu de travail coté client avant de commencer

Si Windows Azure Pack est le petit frère de Microsoft Azure, c’est pas pour rien. Il réutilise déjà la même plateforme pour installer ses prérequis : Le web Plateform Installer. S’il est pas déjà installé, c’est disponible à cette adresse dans Microsoft Azure. Dans la section "Command-Line Tools", il y a une sous-section Windows PowerShell. Y a plus qu’à cliquer sur Install.

Avec un peu de patience (surtout vi vous avez un débit en download proche du néant), ça fini par arriver.

On passe par cet installer pour installer l’API PowerShell de Microsoft. Elle inclus celle de Windows Azure Pack, on verra plus loin que c’est un sous-ensemble.

Dans ma liste de course, un seul élément : Microsoft Azure PowerShell. La taille du download peut varier en fonction de l’évolution de l’API mise à disposition par Microsoft (oui elle évolue vite) et des autres prérequis qui peuvent être nécessaires (Framework Dot.Net 4.0).

Même si c’est pas indiqué dans l’interface, il y a du monde dans les prérequis, donc il faut prendre son mal en patience.

Le processus d’installation est direct, pas de questions superficielles. Jusqu’à maintenant, c’est de l’Azure-like.

Au terme de l’installation, on peut nous demander de redémarrer notre poste de travail. En même temps, vu le nombre de composants installées, c’est normal. Attention, si un redémarrage est nécessaire, c’est que peut être des composants vont continuer à s’installer après.

Après redémarrage, on constatera que le module demandé est bien installé.

Au final, voilà la liste des composants installé sur le poste de travail de mon locataire.

Un rapide tour du propriétaire nous confirme que Windows Azure Pack a bien Microsoft Azure comme parent. Cela veut dire qu’ils auront beaucoup de choses en commun.

A ce stade, pas possible d’aller plus loin et pour cause, l’accès au TenantAPI nous sera refusé. What? Ouvrez la boite d’aspirine et avalez la tout de suite. Bienvenu dans la salle de torture de mon donjon.

Les APIs du tenant

C’est maintenant que ça se complique car elles sont deux et il n’y en a qu’une qui nous intéresse tout de suite, c’est la TenantPublicAPI. C’est un composant de Windows Azure Pack. A ce titre, il dispose donc d’un namespace que nous pouvons explorer avec le module PowerShell que nous connaissons déjà.

La différence entre TenantAPI et TenantPublicAPI tiens au fait que l’une est censé être exposée sur Internet, l’autre non. Donc c’est TenantPublicAPI qui nous intéresse. Comme pour les autres modules, il est configuré pour utiliser un certificat auto-signé et un port exotique. La commande PowerShell Get-MgmtSvcFQDN nous le confirmera. Coté IIS, on a bien un site web MgmtSvc-TenantAPI.

Vu l’expérience précédente avec les deux portails, on se doute bien de ce qu’on va trouver dans IIS (c’est toujours aussi moche).

Pas la peine de faire un dessin. Le certificat auto-signé du Web Service devra être remplacé avec un certificat délivré par une autorité reconnue par nos futurs locataires. Comme pour le portail des locataires et le TenantAuthSite, c’est un composant que nous devrons exposer sur Internet. Dans ma maquette, tous les composants de Windows Azure Pack sont installés sur la même plateforme. La bonne pratique serait de localiser les modules TenantAuthSite, TenantPortal et TenantPublicAPI en DMZ, sur un même serveur. D’un point de vue sécurité, l’erreur est de localiser le TenantAPI et le TenantPublicAPI sur la même machine exposée sur Internet. Pour faire simple, on va conserver la même adresse IP ainsi que le port exotique. Dans mon DNS interne, j’ai donc créé l’entrée suivante : TenantPublicAPI.WindowsAzurePack.Lan et demandé le certificat ci-dessous :

Ce certificat sera utilisé pour remplacer le certificat existant sur le binding tout en conservant le port par défaut (30006).

Note : Redémarrer le site web est encore essentiel. On va écraser le binding actuel, le TenantPublicAPI ne répondra plus.

Les puristes de IIS me reprocheront de ne pas utiliser la fonctionnalité Server Name Indication (SNI) disponible depuis IIS 8.0. Certes, cela permet de binder plusieurs certificats sur une même adresse IP en conservant le port 443 plus "user-friendly" mais dès lorsqu’on va faire du scale-out avec Windows Azure Pack, on va finir par dédier un serveur et donc une adresse IP. En plus, cela implique que les navigateurs Internet de vos clients le supporte (impose l’usage de TLS). Enfin, avec la haute disponibilité, est-ce que votre matériel supporte le SNI? Au final, même si cela fonctionne, c’est imposer une forte contrainte d’accès à notre service Cloud. Voulez-vous vous priver d’une partie de vos futurs locataires? Au passage, offrez une boite d’aspirine à votre équipe réseau. Elle en aura besoin lorsqu’on commencera à parler haute disponibilité .

Nous revoyons la commande Set-MgmtSvcFqdn que nous avions déjà utilisée. C’est pas plus compliqué que cela. Vu qu’on a déjà reconfiguré le TenantAuthSite,

Note : Ne pas oublier de redémarrer le Web Service.

Voilà pour l’API exposée à nos futurs locataires. Passons maintenant à la TenantAPI. Microsoft a séparé l’API dédiée au tenants en deux parties pour isoler certaines fonctions, pour que celles-ci ne soient pas accessibles depuis Internet.

Allons l’explorer un peu la configuration de ce namespace avec la commande Get-MgmtSvcFQDN :

Il opère donc sur le port 30005 et utilise un certificat auto-signé. On va donc avoir une nouvel enregistrement DNS tenantapi.windowsazurepack.lan, donc un nouveau certificat issu de mon autorité de certification interne.

Dans la console IIS, on va remplacer le certificat auto-signé tout en conservant le port 30005.

Note : On n’oublie pas de redémarrer le site web pour que la configuration soit active.

Encore une fois, il faut aussi actualiser l’information dans la base de données de Windows Azure Pack avec la commande Set-MgmtSvcFqdn que nous avions déjà utilisée.

Y a des détails qui changent tout

On est prêt coté serveur. Pourtant, il reste un truc qui me chiffonne. Comment Windows Azure Pack pouvait-il accepter de fonctionner avec des certificats auto-signés. Y avait forcément un truc sous la moquette. Dans le billet sur le Best-Practice Analyzer de Windows Azure Pack, on avait mis le doigt sur un sujet important :

Y a des résidus. OK, on pourrait directement attaquer les fichiers de configuration IIS ou utiliser le module Powershell WebAdministration pour corriger le problème. C’est faisable mais pas élégant. En plus Windows Azure Pack à mieux à proposer. Revoyons un peu la liste des commandes mises à disposition par le module de configuration de Windows Azure Pack.

Explorons un peu la configuration de nos deux namespaces du moment (TenantAPI et PublicTenantAPI), on a des choses à voir.

On va commencer par reconfigurer le namespace TenantAPI pour bien vérifier les certificats SSL qui lui sont présentés.

Idem pour le TenantPublicAPI.

Là où cela devient intéressant, c’est que ce paramétrage des namespaces a été poussé sur tous les serveurs raccordés à notre infrastructure Windows Azure Pack. C’est donc un moyen très efficace de propager des paramétrages quel que soit la taille de notre infrastructure.

Back to client-side

Coté Windows Azure Pack, c’est bon. Revenons à notre locataire qui veut utiliser le module PowerShell de Microsoft Azure pour piloter les actions dans son tenant. Pour simplifier les choses, mon utilisateur de test est déjà enregistré et a souscrit à un plan. Dans son portail, il n’y a pas grand-chose. On retrouve des rubriques que nous connaissons déjà dans le portail de son grand frère.

Note : Je suis sur un client qui reconnait l’autorité de certification émettrice du certificat Wapcloud.Windowsazurepack.lan et en mesure de récupérer sa CRL. Sinon, c’est tout de suite moins fun .

Comme pour Microsoft Azure, ce qui nous intéresse c’est le fichier XML PublishSettings.XML. Dans Microsoft Azure, c’est disponible à cette adresse https://windows.azure.com/download/publishprofile.aspx. Dans Windows Azure Pack, c’est le même principe, y a juste l’adresse qui change. Dans ma maquette, il est disponible à l’adresse suivante https://wapcloud.windowsazurepack.lan/publishsettings.

Si on regarde le contenu, on retrouve beaucoup d’éléments que nous connaissons déjà. On constate aussi qu’il était temps de modifier l’URL de Service Management (TenantPublicAPI).

Passons maintenant au plat de résistance, le module PowerShell. Comme indiqué, les commandes relatives à Windows Azure Pack sont un sous-ensemble de celles de Microsoft Azure.

Avec Microsoft Azure, on utiliserait la commande Import-AzurePublishSettingsFile pour se connecter à notre tenant. Avec Windows Azure Pack, c’est presque cela : Import-WAPackPublishSettingsFile.

Ce fichier contenait un peu plus d’informations que prévu. Il contenait un certificat installé dans notre magasin personnel (avec sa clé privée). Cherchez pas, c’est encore un auto-signé.

C’est ce même certificat que nous retrouvons dans le portail du locataire dans la section "Management certificates". Nous conservons la clé privée. Coté Windows Azure Pack, il n’y a que la clé publique de référencée.

Note : Vu ce que contient mon fichier publishsettings, la recommandation est de le supprimer dès que l’importation a été réalisée.

Ca y est, on a fini. Bienvenu dans ton cloud locataire (oui j’ai osé la faire ).

Même si j’ai clos ce sujet, je suis pas à l’abris d’en découvrir encore sur les API dédiées aux locataires. Le billet sera donc actualisé en fonction des découvertes. Faites les stocks de boite d’aspirine.

Félicitations à ceux qui sont arrivés au terme de ce billet. Ils méritent le badge “Windows Azure Pack survivor”. cependant, vous êtes encore loin de devenir le maitre du donjon. Il reste beaucoup de choses à voir dans la salle des tortures, …

BenoîtS – Simple and Secure by design but business compliant

Une petite pause dans ma quête de Windows Azure Pack. Avant que ça pique trop les yeux et que cela devienne réellement une prise de tête,je cherche toujours à savoir si "out-of the box", il n’y avait pas un peu d’aide intégrée (le Update-Help c’est magique mais y a pas que Powershell dans la vie). Avec mon installation par défaut de Windows Azure Pack, cela devait être le cas puisqu’on avait un module "Microsoft Best Practice Analyzer" installé par défaut.

Il ne me manque donc que de quoi tirer profit de cette aide en installant le Microsoft Baseline Configuration Analyzer.

Bien évidemment, il n’est pas installé par défaut. Une fois installé, il détecte automatiquement le module d’analyse de configuration de Windows Azure Pack. A noter que si nous avions une installation distribuée de la bête, il faudra donc installer le MBCA sur tous les hôtes concernés.

Une fois l’analyse terminée, les précieux conseils sont prodigués.

Dans la liste des conseils, il y a des évidences :

• Remplacer les certificats auto-signés et reconfigurer WAP c’est bien, c’est mieux si on supprimait aussi les certificats auto-signés
• Installer tous les modules sur le même serveur, c’est le mal incarné

Mais il y a aussi de précieux conseils :

• Remplacer les certificats auto-signés c’est bien mais si en plus on supprimait le paramètre DisableSSLCertValidation de la configuration IIS ce serait mieux
• Conserver SSL V2, c’est un crime (sic)

Le produit facilite aussi grandement la recherche des configurations "exotiques". Dans l’illustration ci-dessous, on retrouve bien l’utilisation de la désactivation de de la vérification de certificats SSL activée.

Au passage, si descendre dans les entrailles de la bête ne vous effraie pas, le WAPTrace mis à disposition par Microsoft est très pratique. Attention, ça va piquer les yeux. C’est des Web Services qui causent entre eux.

Bref, y a de quoi encore occuper des longues soirées d’hivers avant d’arriver au bout de la bête.

BenoîtS – Simple and secure by design but business compliant

I was involved in some DirectAccess pre-sale & projects with One-Time Password feature. For a while we have a dedicated Technet web page for special cases / requests or scenarios DirectAccess Unsupported Configurations. I used to have a look at it some time to time to check if I missed something. Today, I was surprised to  discover new section related to OTP scenarios :

I understand for the second one. We must establish a SSL session excluded from the IPSEC tunnel, that is not possible with force tunneling. IMO, force tunneling feature need to be reviewed (a wish for Windows V.Next). From a technical point of view we can replace it with the Web Filtering for DirectAccess users approach.

For the first one, it’s a surprise. I was about to consider the SSL Offload for IP-HTTPS DirectAccess Traffic from Windows 7 Clients using F5 BIG-IP proposed by Richard Hicks for a project of mine including OTP. I will have to forget SSL Offload. In some way it’s logic, we cannot have different way to manage SSL authentication for the same endpoint (ISAPI filter used by OTP and IPHTTPS endpoint).

BenoîtS – Simple and Secure by Design but Business compliant.