|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
|
26-06-2009, 09:32 PM | #1 |
Guest
Trả Lời: n/a
|
Active Directory Federation Services (AD FS) trong Windows Server 2008
Active Directory Federation Services (AD FS) trong Windows Server 2008 *** I.Giới thiệu Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau. Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác, người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp). Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng. Trong môi trường liên đoàn (federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác. Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO). ADFS hỗ trợ giải pháp SSO trên nền web trong một phiên làm việc của người dùng. Đối với ADFS có hai loại tổ chức: -Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có thể được truy cập từ các đối tác tin cậy. -Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên. Bài lab này có 5 bước: 1.Các tác vụ cần thực hiện trước khi cài đặt ADFS 2.Cài đặt role ADFS và cấu hình certificate 3.Cấu hình web server 4.Cấu hình federation server 5.Truy cập ứng dụng từ máy client II.Chuẩn bị Ta cần 4 máy với các yêu cầu sau: Tên computer ADFS client/server role Hệ điều hành IPv4/SM DNS Client - Windows XP SP2 - Windows Vista 192.168.1.49/24 - Preferred: 192.168.1.34 - Alternate: 192.168.1.32 PC34 Federation server and domain controller W2K8 Enterprise 192.168.1.34/24 192.168.1.34 PC31 Web server W2K8 Enterprise 192.168.1.31/24 192.168.1.32 PC32 Federation server and domain controller W2K8 Enterprise 192.168.1.32/24 192.168.1.32 III.Thực hiện 1.Các tác vụ cần thực hiện trước khi cài đặt ADFS B1: Install AD DS lên máy PC32, domain name nhatnghe32.local -> PC32.nhatnghe32.local. Domain nhatnghe32.local đóng vai trò resource organization. B2: Install AD DS lên máy PC34, domain name nn34.local -> PC34.nn34.local. Domain nn34.local đóng vai trò account organization. B3: Trên máy PC34: -tạo security global group TreyClaimAppUsers -tạo user u1, đưa u1 vào group TreyClaimAppUsers B4: Join máy PC31 vào domain nhatnghe32.local -> PC31.nhatnghe32.local. Cài đặt IIS. B5: Join máy PC49 vào domain nn34.local -> PC49.nn34.local 2.Cài đặt role ADFS và cấu hình certificate 2.1. Cài đặt ADFS Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. Sau khi cài Federation Service, 2 máy DC này trở thành federation server. B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Federation Service -> chọn Add Required Role services -> Next B4: Chọn Create a self-signed certificate for SSL encryption -> Next B5: Chọn Create a self-signed token-signing certificate -> Next B6: Chọn Create a new trust policy -> Next -> Next B7: Chọn Next -> Install -> Close 2.2. Cấu hình IIS (SSL) trên 2 federation server Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. B1: Mở IIS Manager -> PC32 -> Sites -> Default Web Site B2: Double click SSL Settings B3: Chọn Require SSL, mục Client certificates chọn Accept -> Apply 2.3. Cài đặt AD FS Web Agent Thực hiện trên máy Web server (PC31). B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Claims-aware Agent -> Next -> Install -> Close B4: Add thêm role service Client Certificate Mapping Authentication vào role Web Server (IIS) 2.4. Tạo, xuất, và nhập certificate 1. Tạo server authentication certificate cho web server (PC31) Thực hiện trên máy Web server (PC31). B1: Mở IIS Manager -> PC31 B2: Double click Server Certificates B3: Trong phần Actions chọn Create Self-Signed Certificate B4: Nhập PC31 -> OK B5: Kiểm tra web server đã có certificate 2. Xuất token-signing certificate cùa account server (PC34) thành file Thực hiện trên máy account server (PC34). B1: Mở Active Directory Federation Services B2: Right click Federation Service -> Properties B3: Tab General -> click View B4: Tab Details -> click Copy to File -> Next B5: Click No, do not export the private key -> Next B6: Click DER encoded binary X.509 (.CER) -> Next B7: Nhập C:\pc34_ts.cer -> Next -> Finish -> OK -> OK -> OK 3. Xuất server authentication certificate của resource server (PC32) thành file Thực hiện trên máy resource server (PC32). B1: Mở IIS Manager -> PC32 B2: Double click Server Certificates B3: Right click PC32.nhatnghe32.local -> Export B4: Nhập C:\PC32.pfx vào mục Export to, nhập password và confirm password -> OK 4. Nhập server authentication certificate của resource server (PC32) vào web server (PC31) Thực hiện trên máy web server (PC31). B1: Start -> Run -> mmc -> OK B2: Click menu File -> Add/Remove Snap-in B3: Click Certificates -> Add -> Computer account -> Next -> Local computer -> Finish -> OK B4: Certificates (Local Computer) -> Trusted Root Certification Authorities -> Right click Certificates -> All Tasks -> Import -> Next B5: Nhập \\pc32\c$\pc32.pfx -> Next B6: Nhập password -> Next B7: Next -> Finish -> OK B8: Kiểm tra thấy đã có certificate của resource server (PC32) 3.Cấu hình web server Thực hiện trên máy web server (PC31). 3.1. Cấu hình IIS trên web server B1: Mở IIS Manager -> PC31 -> Sites -> Right click Default Web Site -> Edit Bidings B2: Click Add B3: Mục Type chọn https, mục SSL certificate chọn PC31 -> OK -> Close B4: Double click SSL Settings B5: Chọn Require SSL, mục Client certificates chọn Accept -> Apply 3.2. Tạo và cấu hình ứng dụng B1: Tạo folder claimapp trong C:\inetpub\wwwroot. Chép 3 file ... vào folder C:\inetpub\wwwroot\ claimapp B2: Mở IIS Manager -> PC31 -> Sites -> Right Default Web Site -> Add Application B3: Mục Alias nhập ClaimApp, mục Application pool chọn Classic .NET AppPool, mục Physical path chọn C:\inetpub\wwwroot\claimapp -> OK 4.Cấu hình federation server 4.1. Cấu hình federation service cho domain nn34.local (account domain) Thực hiện trên máy account server (PC34). 1. Cấu hình trust policy cho domain nn34.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI, nhập urn:federation:nn34 B3: Tab Display Name, mục Display name for this trust policy, nhập pc34 -> OK 2. Tạo group cho ứng dụng B1: Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name, nhập nhatnghe32 ClaimApp Claim -> OK B3: Xác nhận đã có “nhatnghe32 ClaimApp Claim” 3. Thêm và cấu hình AD DS account store Thêm AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Store -> Next B2: Click Next B3: Click Next -> Finish B4: Xác nhận AD DS account store đã được thêm vào Cấu hình AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> Account Stores -> right click Active Directory -> New -> Group Claim Extraction B2: Click Add -> nhập TreyClaimAppUsers -> OK -> OK B3: Xác nhận đã có group TreyClaimAppUsers 4.2. Cấu hình federation service cho domain nhatnghe32.local (resource domain) Thực hiện trên máy resource server (PC32). 1. Cấu hình trust policy cho domain nhatnghe32.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI nhập urn:federation:nhatnghe32 B3: Tab Display Name, mục Display name for this trust policy nhập pc32 -> OK 2. Tạo group cho ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name nhập nn34 ClaimApp Claim -> OK B3: Xác nhận đã có “nn34 ClaimApp Claim” 3. Thêm AD DS account store B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Stores -> Next B2: Next B3: Next -> Finish B4: Xác nhận AD DS account store đã được thêm vào 4. Thêm và cấu hình ứng dụng Thêm ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Applications -> New -> Application -> Next B2: Click Next B3: Mục Application display name nhập Claims-aware Application. Mục Application URL nhập https://pc31.nhatnghe32.local/claimapp/ -> Next B4: Chọn User principal name (UPN) -> Next B5: Click Next -> Finish B6: Xác nhận ứng dụng đã được thêm vào Cấu hình ứng dụng B1: Trong Applications -> Claims-aware Application -> right click nn34 ClaimApp Claim -> Enable B2: Xác nhận ứng dụng đã được enable 4.3. Cấu hình federation trust 1. Xuất trust policy từ nn34 B1: AD FS -> Federation Service -> right click Trust Policy -> Export Basic Partner Policy B2: Click Browse -> nhập C:\pc34 -> Save -> OK 2. Nhập trust policy nn34 vào nhatnghe32 B1: AD FS -> Federation Service -> Trust Policy -> Partner Organizations -> righr click Account Partners -> New -> Account Partner -> Next B2: Mục Partner interoperability policy file nhập \\pc34\c$\pc34.xml -> Next B3: Click Next B4: Click Next B5: Click Next B6: Click Next B7: Nhập nn34.local -> Add -> Next B8: Nhập nn34.local -> Add -> Next B9: Click Next -> Finish B10: Account Partner đã được thêm vào 3. Tạo một claim mapping trong nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> New -> Incoming Group Claim Mapping B2: Mục Incoming group claim name nhập ClaimAppMapping -> OK B3: ClaimAppMapping đã được thêm vào 4. Xuất partner policy từ nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> Export Policy B2: Click Browse -> nhập C:\pc32 -> Save -> OK 5. Nhập partner policy nhatnghe32 sang nn34 Máy pc34. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> right click Resource Partners -> New -> Resource Partner -> Next B2: Click Yes -> mục Partner interoperability policy file nhập \\pc32\c$\pc32.xml -> Next B3: Click Next B4: Click Next B5: Click Next B6: B7: Click Next B8: Mục Mapping chọn nhatnghe32 ClaimApp Claim -> Next B9: Click Next -> Finish B10: Resource Partner đã được thêm vào 5.Truy cập ứng dụng từ máy client 5.1. Cấu hình IE để tin cậy server pc34.nn34.local Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> Tools -> Internet Options -> Security -> Local Intranet -> Sites -> Advanced -> Add this Web site to the zone: nhập https://pc34.nn34.local -> Add -> OK -> OK -> OK 5.2. Truy cập ứng dụng từ client Windows XP Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> nhập https://pc31.nhatnghe32.local/claimapp -> mục Choose your home realm chọn pc34 -> Submit B3: Xuất hiện ứng dụng SSO Sample Nhất Nghệ Support Team Châu Tuấn |
The Following User Says Thank You to hoctinhoc For This Useful Post: |
|
|