Настройка лабораторной среды для служб федерации Active Directory в Windows Server 2012 R2

  • Статья

В этой статье описаны шаги по настройке тестовой среды, которую можно использовать для выполнения инструкций следующих пошаговых руководств.

Примечание.

Не рекомендуется устанавливать на одном компьютере и веб-сервер, и сервер федерации.

Для настройки данной тестовой среды выполните следующие шаги.

  1. Шаг 1. Настройка контроллера домена (DC1)

  2. Шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств

  3. Шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений

  4. Шаг 4. Настройка клиентского компьютера (Client1)

Шаг 1. Настройка контроллера домена (DC1)

Для целей данной тестовой среды можно назвать корневой домен Active Directory contoso.com и указать pass@word1 в качестве пароля администратора.

  • Установите службу ролей AD DS и установите службы домен Active Directory (AD DS), чтобы сделать компьютер контроллером домена в Windows Server 2012 R2. Это действие обновляет схему AD DS в рамках создания контроллера домена. Дополнительные сведения и пошаговые инструкции см. в статьеhttps://technet.microsoft.com/library/hh472162.aspx.

Создание тестовых учетных записей Active Directory

После того как контроллер домена станет функциональным, можно создать тестовую группу и тестовые учетные записи пользователей в этом домене и добавить учетную запись пользователя в учетную запись группы. Эти учетные записи используются для выполнения пошаговых инструкций в соответствующих руководствах, которые перечислены ранее в этой статье.

Создайте следующие учетные записи.

  • Пользователь Robert Hatley со следующими учетными данными: имя пользователя — RobertH и пароль — P@ssword

  • Группа: Finance

Сведения о создании учетных записей пользователей и групп в Active Directory (AD) см. в статье https://technet.microsoft.com/library/cc783323%28v.aspx.

Добавьте учетную запись Robert Hatley в группу Finance . Сведения о добавлении пользователя в группу в Active Directory см. в статье https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Создание учетной записи GMSA

Учетная запись управляемой службы группы (GMSA) требуется во время установки и настройки службы федерации Active Directory (AD FS) (AD FS).

Создание групповой управляемой учетной записи службы

  1. Откройте командное окно Windows PowerShell и введите:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств.

Чтобы настроить другую виртуальную машину, установите Windows Server 2012 R2 и подключите его к домену contoso.com. Настройте компьютер после присоединения его к домену, а затем перейдите к установке и настройке роли AD FS.

См. видео в статье Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: установка фермы серверов AD FS Server Farm.

Установка SSL-сертификата сервера

Необходимо установить SSL-сертификат на сервере ADFS1 в хранилище локального компьютера. Сертификат ДОЛЖЕН иметь следующие атрибуты.

  • Имя субъекта (CN): adfs1.contoso.com

  • Альтернативное имя субъекта (DNS): adfs1.contoso.com

  • Альтернативное имя субъекта (DNS): enterpriseregistration.contoso.com

Дополнительные сведения о настройке SSL-сертификатов см. в разделе Настройка SSL и TLS на веб-сайте в домене с помощью ЦС предприятия.

Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: обновление сертификатов.

Установка роли сервера AD FS

Установка службы роли службы федерации

  1. Войдите на сервер с помощью учетной записи administrator@contoso.comадминистратора домена.

  2. Запустите диспетчер серверов. Для запуска диспетчера серверов щелкните Диспетчер серверов на экране Запуск в ОС Windows или щелкните Диспетчер серверов на панели задач Windows рабочего стола Windows. На вкладке Быстрый запуск плитки приветствия на странице Панель мониторинга щелкните Добавить роли и компоненты. Либо выберите пункт Добавить роли и компоненты в меню Управление .

  3. На странице Перед началом работы нажмите кнопку Далее.

  4. На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее.

  5. На странице Выбор целевого сервера щелкните Выбрать сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее.

  6. На странице Выбор ролей сервера щелкните Службы федерации Active Directory, а затем нажмите кнопку Далее.

  7. На странице Выбор функций (Select features) нажмите кнопку Далее.

  8. На странице Служба федерации Active Directory (AD FS) нажмите кнопку Далее.

  9. После проверки информации на странице Подтверждение выбранных элементов для установки установите флажок Автоматический перезапуск конечного сервера, если требуется , а затем щелкните Установить.

  10. На странице Ход установки убедитесь, что все установлено верно, а затем нажмите кнопку Закрыть.

Настройка сервера федерации

Следующий шаг — настройка сервера федерации.

Настройка сервера федерации

  1. На странице Панель мониторинга диспетчера серверов щелкните флажок Уведомления , а затем щелкните Настроить службу федерации на сервере.

    Откроется Мастер конфигурации служб федерации Active Directory .

  2. На странице Приветствие щелкните Создать первый сервер федерации на ферме серверов федерациии нажмите кнопку Далее.

  3. На странице Подключиться к AD DS укажите учетную запись с правами администратора домена для домена Active Directory contoso.com , к которому подсоединен этот компьютер, а затем нажмите кнопку Далее.

  4. На странице Укажите свойства службы выполните следующее, а затем нажмите кнопку Далее.

    • Импортируйте полученный ранее SSL-сертификат. Этот сертификат является необходимым сертификатом аутентификации службы. Перейдите в расположение SSL-сертификата.

    • Чтобы предоставить имя для вашей службы федерации, введите adfs1.contoso.com. Это то же значение, что и предоставленное при регистрации SSL-сертификата в службах сертификатов Active Directory (AD CS).

    • Чтобы указать отображаемое имя для вашей службы федерации, введите Contoso Corporation.

  5. На странице Укажите учетную запись службы выберите Использовать существующую учетную запись пользователя домена или групповую управляемую учетную запись служб, а затем укажите учетную запись GMSA fsgmsa , созданную при создании контроллера домена.

  6. На странице Укажите базу данных конфигурации выберите Создать на этом сервере базу данных на основе внутренней базы данных Windows, а затем нажмите кнопку Далее.

  7. На странице Просмотр параметров проверьте выбранные параметры конфигурации и нажмите кнопку Далее.

  8. На странице Предварительные проверки убедитесь, что все предварительные проверки успешно пройдены, и нажмите кнопку Настроить.

  9. На странице Результаты проверьте результаты, убедитесь, что конфигурация успешно завершена, а затем нажмите Для развертывания службы федерации нужно выполнить следующие действия.

Настройка службы регистрации устройств

Затем необходимо настроить на сервере ADFS1 службу регистрации устройств. См. видео в статье Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: включение службы регистрации устройств.

Настройка службы регистрации устройств для Windows Server 2012 RTM

  1. Внимание

    Следующий шаг относится к сборке RTM Windows Server 2012 R2.

    Откройте командное окно Windows PowerShell и введите:

    Initialize-ADDeviceRegistration

    В ответ на запрос ввода учетной записи службы введите contoso\fsgmsa$.

    Теперь запустите командлет Windows PowerShell.

    Enable-AdfsDeviceRegistration

  2. На сервере ADFS1 на консоли Управление AD FS перейдите в раздел Политики аутентификации. Выберите Редактировать глобальную первичную аутентификацию. Установите флажок в поле Включить аутентификацию устройстви нажмите кнопку ОК.

Добавление записей ресурсов узла (А) и псевдонима (CNAME) в DNS

В DC1 необходимо убедиться, что для службы регистрации устройств созданы следующие записи доменной службы имен (DNS).

Формат ввода Тип Адрес
adfs1 Узел (A) IP-адрес сервера AD FS
enterpriseregistration Псевдоним (CNAME) adfs1.contoso.com

Можно воспользоваться следующей процедурой для добавления записи ресурса узла (А) на корпоративные серверы DNS-имен для сервера федерации и службы регистрации устройств.

Членство в группе "Администраторы" или эквивалентной ей группе является минимальным требованием для выполнения этой процедуры. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах групп гиперссылки "https://go.microsoft.com/fwlink/?LinkId=83477" Локальные и доменные группы по умолчанию (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Добавление записей ресурсов узла (А) и псевдонима (CNAME) в DNS для сервера федерации

  1. В DC1 из диспетчера серверов в меню Сервис щелкните DNS , чтобы открыть оснастку DNS.

  2. В дереве консоли разверните DC1, затем — Зоны прямого просмотра, щелкните правой кнопкой мыши contoso.com, а затем щелкните Новый узел (А или АААА).

  3. В поле Имя введите требуемое имя фермы AD FS. Для данного пошагового руководства введите adfs1.

  4. В поле IP-адресвведите IP-адрес сервера ADFS1. Нажмите кнопку Добавить узел.

  5. Щелкните правой кнопкой contoso.com, а затем — Новый псевдоним (CNAME).

  6. В диалоговом окне Новая запись ресурса введите enterpriseregistration в поле Имя псевдонима .

  7. В поле полного доменного имени целевого узла введите adfs1.contoso.comи нажмите кнопку ОК.

    Внимание

    В реальном развертывании, если у компании несколько суффиксов имени участника-пользователя, необходимо создать несколько записей CNAME, по одной для каждого из этих суффиксов в DNS.

Шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений

Настройте виртуальную машину (WebServ1), установив операционную систему Windows Server 2012 R2 и подключите ее к домену contoso.com. После подключения к домену можно продолжить установку и настройку роли веб-сервера.

Для завершения пошаговых руководств, перечисленных ранее в этом разделе, необходимо иметь пример приложения, безопасность которого обеспечивается вашим сервером федерации (ADFS1).

Для настройки веб-сервера с использованием примера приложения на основе утверждений необходимо выполнить следующие действия.

Примечание.

Эти действия были протестированы на веб-сервере, на котором запущена операционная система Windows Server 2012 R2.

  1. Установка роли веб-сервера и Windows Identity Foundation

  2. Установка пакета SDK для Windows Identity Foundation

  3. Настройка простого приложения утверждений в IIS

  4. Создание доверия проверяющей стороны на сервере федерации

Установка роли веб-сервера и Windows Identity Foundation

  1. Примечание.

    У вас должен быть доступ к установочному носителю Windows Server 2012 R2.

    Войдите в WebServ1 с помощью administrator@contoso.com pass@word1 пароля.

  2. В диспетчере серверов на вкладке Быстрый запуск плитки Приветствие на странице Панель мониторинга щелкните Добавить роли и компоненты. Либо выберите пункт Добавить роли и компоненты в меню Управление .

  3. На странице Перед началом работы нажмите кнопку Далее.

  4. На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее.

  5. На странице Выбор целевого сервера щелкните Выбрать сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее.

  6. На странице Выбор ролей сервера установите флажок в поле Веб-сервер (IIS), щелкните Добавить компонентыи нажмите кнопку Далее.

  7. На странице Выбор компонентов выберите Windows Identity Foundation 3.5и нажмите кнопку Далее.

  8. На странице Роль веб-сервера (IIS) щелкните Далее.

  9. На странице Выбор служб ролей выберите и разверните узел Разработка приложений. Выберите ASP.NET 3.5, щелкните Добавление компонентови нажмите кнопку Далее.

  10. На странице Подтверждение выбранных элементов для установки щелкните Указать альтернативный исходный путь. Введите путь к каталогу Sxs, расположенному на установочном носителе Windows Server 2012 R2. Например, D:\Sources\Sxs. Нажмите кнопку ОК, а затем кнопку Установить.

Установка набора инструментов Windows Identity Foundation SDK

  1. Запустите WindowsIdentityFoundation-SDK-3.5.msi, чтобы установить пакет SDK для Windows Identity Foundation 3.5. Выберите все параметры по умолчанию.

Настройка примера приложения на базе утверждений в IIS

  1. Установите действующий SSL-сертификат из хранилища сертификатов компьютера. Сертификат должен содержать имя веб-сервера, webserv1.contoso.com.

  2. Копируйте содержимое из папки C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp в папку C:\Inetpub\Claimapp.

  3. Редактируйте файл Default.aspx.cs , чтобы фильтрация утверждений не осуществлялась. Этот шаг нужен для того, чтобы в примере приложения отображались все утверждения, изданные сервером федерации. Выполните следующие действия.

    1. Откройте Default.aspx.cs в текстовом редакторе.

    2. Найдите файл для второго экземпляра ExpectedClaims.

    3. Закомментируйте утверждение IF целиком, включая круглые скобки. Укажите комментарии, введя "/" (без кавычки) в начале строки.

    4. Оператор FOREACH теперь должен выглядеть так же, как в примере кода.

      Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}

    5. Сохраните и закройте Default.aspx.cs.

    6. Откройте web.config в текстовом редакторе.

    7. Полностью удалите раздел <microsoft.identityModel> . Удалите все, начиная с including <microsoft.identityModel> и до </microsoft.identityModel>включительно.

    8. Сохраните и закройте web.config.

  4. Настройка диспетчера IIS

    1. Откройте Диспетчер Internet Information Services (IIS).

    2. Перейдите в раздел Пулы приложений, щелкните правой кнопкой DefaultAppPool , чтобы выбрать Дополнительные параметры. Задайте для параметра Загрузить профиль пользователя значение Trueи нажмите кнопку ОК.

    3. Щелкните правой кнопкой DefaultAppPool , чтобы выбрать Основные параметры. Измените Версия .NET CLR на версия .NET CLR 2.0.50727.

    4. Щелкните правой кнопкой Веб-сайт по умолчанию , чтобы выбрать команду Редактировать привязки.

    5. Добавьте привязку HTTPS в порт 443 с установленным SSL-сертификатом.

    6. Щелкните правой кнопкой Веб-сайт по умолчанию , чтобы выбрать Добавить приложение.

    7. Задайте псевдоним для claimapp и физический путь к c:\inetpub\claimapp.

  5. Для настройки claimapp для работы с сервером федерации выполните следующие действия.

    1. Запустите файл FedUtil.exe, расположенный в C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5.

    2. Задайте для расположения конфигурации приложения значение C:\inetput\claimapp\web.config и задайте URI приложения URL-адрес для вашего сайта , https://webserv1.contoso.com /claimapp/. Нажмите кнопку Далее.

    3. Выберите "Использовать существующую службу безопасности" и перейдите по URL-адресу https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmlметаданных сервера AD FS. Нажмите кнопку Далее.

    4. Выберите Отключить проверку цепочки сертификатов, а затем нажмите кнопку Далее.

    5. Щелкните Без шифрованияи нажмите кнопку Далее. На странице Предложенные утверждения нажмите кнопку Далее.

    6. Установите флажок, чтобы Запланировать задание для выполнения ежедневных обновлений метаданных WS-Federation. Нажмите кнопку Готово.

    7. Пример приложения настроен. При тестировании URL-адреса https://webserv1.contoso.com/claimappприложения он должен перенаправить вас на сервер федерации. На сервере федерации должна отображаться страница ошибки, потому что отношения доверия с проверяющей стороной еще не настроены. Другими словами, вы не обеспечили это тестовое приложение AD FS.

Теперь необходимо защитить пример приложения, работающего на веб-сервере с помощью AD FS. Для этого достаточно добавить отношения доверия с проверяющей стороной на сервер федерации (ADFS1). См. видео в статье Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: добавление отношения доверия с проверяющей стороной.

Создание отношений доверия с проверяющей стороной на сервере федерации

  1. На сервере федерации (ADFS1) в разделе Консоль управления AD FSперейдите в область Отношения доверия с проверяющей стороной, а затем щелкните Добавить отношения доверия с проверяющей стороной.

  2. На странице Выбор источника данных выберите Импортировать данные о проверяющей стороне, опубликованные в Интернете или локальной сети, введите URL-адрес метаданных для claimapp, а затем нажмите кнопку Далее. Запустите созданный инструментом FedUtil.exe XML-файл метаданных. Он расположен в https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

  3. На странице Указание отображаемого имени укажите отображаемое имя отношений доверия с проверяющей стороной, claimapp, а затем нажмите кнопку Далее.

  4. На странице Настроить многофакторную аутентификацию сейчас? выберите Я не хочу сейчас указывать параметры многофакторной аутентификации для отношений доверия с этой проверяющей сторонойи нажмите кнопку Далее.

  5. На странице Выберите правила авторизации выпуска выберите Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

  6. На странице Готово к добавлению отношений доверия щелкните Далее.

  7. В диалоговом окне Изменение правил для утверждений щелкните Добавить правило.

  8. На странице Выберите тип правила выберите Отправлять утверждения с использованием пользовательского правила, а затем нажмите кнопку Далее.

  9. На странице Настройка правил утверждений в поле Имя правила утверждений введите All Claims. В поле Пользовательское правило введите следующее правило утверждений.

    c:[ ]
=> issue(claim = c);

  10. Нажмите кнопку Готово, а затем — кнопку ОК.

Шаг 4. Настройка клиентского компьютера (клиент1)

Настройте другую виртуальную машину и установите Windows 8.1. Эта виртуальная машина должна быть в той же виртуальной сети, что и другие машины. Эта машина НЕ должна быть объединена в домен Contoso.

Клиент ДОЛЖЕН доверять SSL-сертификату, используемому для сервера федерации (ADFS1), настроенного в разделе Step 2: Configure the federation server (ADFS1) with Device Registration Service. Система также должна быть в состоянии проверить информацию об отзыве сертификата.

Необходимо также настроить и использовать учетную запись Microsoft для входа на Клиент1.

См. также

  • Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: установка фермы серверов AD FS Server Farm
  • Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: обновление сертификатов
  • Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: добавление отношения доверия с проверяющей стороной
  • службы федерации Active Directory (AD FS) серии видеоматериалов: включение службы регистрации устройств
  • Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: установка прокси-служба веб-приложения