Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 26-06-2009, 08:32 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Active Directory Federation Services (AD FS) trong Windows Server 2008
Active Directory Federation Services (AD FS)
trong Windows Server 2008
***

I.Giới thiệu
Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau.
Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác, người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp).
Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng. Trong môi trường liên đoàn (federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác.
Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO). ADFS hỗ trợ giải pháp SSO trên nền web trong một phiên làm việc của người dùng.
Đối với ADFS có hai loại tổ chức:
-Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có thể được truy cập từ các đối tác tin cậy.
-Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên.
Bài lab này có 5 bước:
1.Các tác vụ cần thực hiện trước khi cài đặt ADFS
2.Cài đặt role ADFS và cấu hình certificate
3.Cấu hình web server
4.Cấu hình federation server
5.Truy cập ứng dụng từ máy client

II.Chuẩn bị
Ta cần 4 máy với các yêu cầu sau:
Tên computer
ADFS client/server role
Hệ điều hành
IPv4/SM
DNS
PC49
Client
- Windows XP SP2
- Windows Vista
192.168.1.49/24
- Preferred: 192.168.1.34
- Alternate: 192.168.1.32
PC34
Federation server and domain controller
W2K8 Enterprise
192.168.1.34/24
192.168.1.34
PC31
Web server
W2K8 Enterprise
192.168.1.31/24
192.168.1.32
PC32
Federation server and domain controller
W2K8 Enterprise
192.168.1.32/24
192.168.1.32

III.Thực hiện
1.Các tác vụ cần thực hiện trước khi cài đặt ADFS
B1: Install AD DS lên máy PC32, domain name nhatnghe32.local -> PC32.nhatnghe32.local. Domain nhatnghe32.local đóng vai trò resource organization.
B2: Install AD DS lên máy PC34, domain name nn34.local -> PC34.nn34.local. Domain nn34.local đóng vai trò account organization.
B3: Trên máy PC34:
-tạo security global group TreyClaimAppUsers
-tạo user u1, đưa u1 vào group TreyClaimAppUsers
B4: Join máy PC31 vào domain nhatnghe32.local -> PC31.nhatnghe32.local. Cài đặt IIS.
B5: Join máy PC49 vào domain nn34.local -> PC49.nn34.local

2.Cài đặt role ADFS và cấu hình certificate
2.1. Cài đặt ADFS
Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. Sau khi cài Federation Service, 2 máy DC này trở thành federation server.
B1: Mở Server Manager -> Roles -> Add Roles -> Next
B2: Chọn Active Directory Federation Services -> Next -> Next


B3: Chọn Federation Service -> chọn Add Required Role services -> Next


B4: Chọn Create a self-signed certificate for SSL encryption -> Next


B5: Chọn Create a self-signed token-signing certificate -> Next


B6: Chọn Create a new trust policy -> Next -> Next


B7: Chọn Next -> Install -> Close


2.2. Cấu hình IIS (SSL) trên 2 federation server
Lần lượt thực hiện trên 2 máy DC: PC32 và PC34.
B1: Mở IIS Manager -> PC32 -> Sites -> Default Web Site
B2: Double click SSL Settings


B3: Chọn Require SSL, mục Client certificates chọn Accept -> Apply


2.3. Cài đặt AD FS Web Agent
Thực hiện trên máy Web server (PC31).
B1: Mở Server Manager -> Roles -> Add Roles -> Next
B2: Chọn Active Directory Federation Services -> Next -> Next


B3: Chọn Claims-aware Agent -> Next -> Install -> Close


B4: Add thêm role service Client Certificate Mapping Authentication vào role Web Server (IIS)


2.4. Tạo, xuất, và nhập certificate
1. Tạo server authentication certificate cho web server (PC31)
Thực hiện trên máy Web server (PC31).
B1: Mở IIS Manager -> PC31
B2: Double click Server Certificates


B3: Trong phần Actions chọn Create Self-Signed Certificate


B4: Nhập PC31 -> OK


B5: Kiểm tra web server đã có certificate


2. Xuất token-signing certificate cùa account server (PC34) thành file
Thực hiện trên máy account server (PC34).
B1: Mở Active Directory Federation Services
B2: Right click Federation Service -> Properties


B3: Tab General -> click View


B4: Tab Details -> click Copy to File -> Next


B5: Click No, do not export the private key -> Next


B6: Click DER encoded binary X.509 (.CER) -> Next


B7: Nhập C:\pc34_ts.cer -> Next -> Finish -> OK -> OK -> OK


3. Xuất server authentication certificate của resource server (PC32) thành file
Thực hiện trên máy resource server (PC32).
B1: Mở IIS Manager -> PC32
B2: Double click Server Certificates


B3: Right click PC32.nhatnghe32.local -> Export


B4: Nhập C:\PC32.pfx vào mục Export to, nhập password và confirm password -> OK


4. Nhập server authentication certificate của resource server (PC32) vào web server (PC31)
Thực hiện trên máy web server (PC31).
B1: Start -> Run -> mmc -> OK
B2: Click menu File -> Add/Remove Snap-in
B3: Click Certificates -> Add -> Computer account -> Next -> Local computer -> Finish -> OK


B4: Certificates (Local Computer) -> Trusted Root Certification Authorities -> Right click Certificates -> All Tasks -> Import -> Next


B5: Nhập \\pc32\c$\pc32.pfx -> Next


B6: Nhập password -> Next


B7: Next -> Finish -> OK


B8: Kiểm tra thấy đã có certificate của resource server (PC32)


3.Cấu hình web server
Thực hiện trên máy web server (PC31).
3.1. Cấu hình IIS trên web server
B1: Mở IIS Manager -> PC31 -> Sites -> Right click Default Web Site -> Edit Bidings


B2: Click Add


B3: Mục Type chọn https, mục SSL certificate chọn PC31 -> OK -> Close


B4: Double click SSL Settings


B5: Chọn Require SSL, mục Client certificates chọn Accept -> Apply


3.2. Tạo và cấu hình ứng dụng
B1: Tạo folder claimapp trong C:\inetpub\wwwroot. Chép 3 file ... vào folder C:\inetpub\wwwroot\ claimapp
B2: Mở IIS Manager -> PC31 -> Sites -> Right Default Web Site -> Add Application


B3: Mục Alias nhập ClaimApp, mục Application pool chọn Classic .NET AppPool, mục Physical path chọn C:\inetpub\wwwroot\claimapp -> OK


4.Cấu hình federation server
4.1. Cấu hình federation service cho domain nn34.local (account domain)
Thực hiện trên máy account server (PC34).
1. Cấu hình trust policy cho domain nn34.local
B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties


B2: Tab General, mục Federation Service URI, nhập urn:federation:nn34


B3: Tab Display Name, mục Display name for this trust policy, nhập pc34 -> OK


2. Tạo group cho ứng dụng
B1: Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim


B2: Mục Claim name, nhập nhatnghe32 ClaimApp Claim -> OK


B3: Xác nhận đã có “nhatnghe32 ClaimApp Claim”


3. Thêm và cấu hình AD DS account store
Thêm AD DS account store
B1: Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Store -> Next


B2: Click Next


B3: Click Next -> Finish


B4: Xác nhận AD DS account store đã được thêm vào


Cấu hình AD DS account store
B1: Federation Service -> Trust Policy -> My Organization -> Account Stores -> right click Active Directory -> New -> Group Claim Extraction


B2: Click Add -> nhập TreyClaimAppUsers -> OK -> OK


B3: Xác nhận đã có group TreyClaimAppUsers


4.2. Cấu hình federation service cho domain nhatnghe32.local (resource domain)
Thực hiện trên máy resource server (PC32).
1. Cấu hình trust policy cho domain nhatnghe32.local
B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties


B2: Tab General, mục Federation Service URI nhập urn:federation:nhatnghe32


B3: Tab Display Name, mục Display name for this trust policy nhập pc32 -> OK


2. Tạo group cho ứng dụng
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim


B2: Mục Claim name nhập nn34 ClaimApp Claim -> OK


B3: Xác nhận đã có “nn34 ClaimApp Claim”


3. Thêm AD DS account store
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Stores -> Next


B2: Next


B3: Next -> Finish


B4: Xác nhận AD DS account store đã được thêm vào


4. Thêm và cấu hình ứng dụng
Thêm ứng dụng
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Applications -> New -> Application -> Next


B2: Click Next


B3: Mục Application display name nhập Claims-aware Application. Mục Application URL nhập https://pc31.nhatnghe32.local/claimapp/ -> Next


B4: Chọn User principal name (UPN) -> Next


B5: Click Next -> Finish


B6: Xác nhận ứng dụng đã được thêm vào


Cấu hình ứng dụng
B1: Trong Applications -> Claims-aware Application -> right click nn34 ClaimApp Claim -> Enable


B2: Xác nhận ứng dụng đã được enable


4.3. Cấu hình federation trust
1. Xuất trust policy từ nn34
B1: AD FS -> Federation Service -> right click Trust Policy -> Export Basic Partner Policy


B2: Click Browse -> nhập C:\pc34 -> Save -> OK


2. Nhập trust policy nn34 vào nhatnghe32
B1: AD FS -> Federation Service -> Trust Policy -> Partner Organizations -> righr click Account Partners -> New -> Account Partner -> Next


B2: Mục Partner interoperability policy file nhập \\pc34\c$\pc34.xml -> Next


B3: Click Next


B4: Click Next


B5: Click Next


B6: Click Next


B7: Nhập nn34.local -> Add -> Next


B8: Nhập nn34.local -> Add -> Next


B9: Click Next -> Finish


B10: Account Partner đã được thêm vào


3. Tạo một claim mapping trong nhatnghe32
Máy pc32.
B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> New -> Incoming Group Claim Mapping


B2: Mục Incoming group claim name nhập ClaimAppMapping -> OK


B3: ClaimAppMapping đã được thêm vào


4. Xuất partner policy từ nhatnghe32
Máy pc32.
B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> Export Policy


B2: Click Browse -> nhập C:\pc32 -> Save -> OK


5. Nhập partner policy nhatnghe32 sang nn34
Máy pc34.
B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> right click Resource Partners -> New -> Resource Partner -> Next


B2: Click Yes -> mục Partner interoperability policy file nhập \\pc32\c$\pc32.xml -> Next


B3: Click Next


B4: Click Next


B5: Click Next


B6:


B7: Click Next


B8: Mục Mapping chọn nhatnghe32 ClaimApp Claim -> Next


B9: Click Next -> Finish


B10: Resource Partner đã được thêm vào


5.Truy cập ứng dụng từ máy client
5.1. Cấu hình IE để tin cậy server pc34.nn34.local
Máy client pc49.nn34.local
B1: Logon u1
B2: Mở IE -> Tools -> Internet Options -> Security -> Local Intranet -> Sites -> Advanced -> Add this Web site to the zone: nhập https://pc34.nn34.local -> Add -> OK -> OK -> OK

5.2. Truy cập ứng dụng từ client Windows XP
Máy client pc49.nn34.local
B1: Logon u1
B2: Mở IE -> nhập https://pc31.nhatnghe32.local/claimapp -> mục Choose your home realm chọn pc34 -> Submit

B3: Xuất hiện ứng dụng SSO Sample



Nhất Nghệ Support Team
Châu Tuấn
  Trả lời ngay kèm theo trích dẫn này
The Following User Says Thank You to hoctinhoc For This Useful Post:
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 04:51 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.