Главная > Active Directory > Microsoft University Online 2011 – Active Directory(Active Directory Right Management Service и Active Directory FS)

Microsoft University Online 2011 – Active Directory(Active Directory Right Management Service и Active Directory FS)

В данной статье я расскажу о том, как настроить доступ пользователям из другой организации с помощью Active Directory Federation Services. В статье мы разберем настройку Active Directory Federation Services у партнера и клиента, и что необходимо сделать на клиентских компьютерах у партнеров

Настройка Active Directory Federation Services в Company.Local

Для начала нам необходимо развернуть Active Directory Federation Services в нашей организации и настроить её, для предоставления доверительных отношений между нашей организацией и её партнером. Для того чтобы развернуть Active Directory Federation Services мы воспользуемся стандартными средствами Windows Server 2008 R2, а именно Server Manager. С помощью, которого разворачиваются встроенные роли сервера. Нам необходима только роль Active Directory Federation Services.

Когда установлен Active Directory Federation Services нам необходимо приступить к его настройке. Для начала необходимо изменить имя сервера, используя которое сервер будет представляться. Что бы это сделать необходимо зайти в оснастку Federation Service, после чего в этой оснастке нажать правой кнопкой мыши на Trust Policy и выбрать Properties. В открывшемся окне необходимо изменить параметр Federation Service URI, как пример можно использовать имя myurn:federation:company.local, а параметр Federation Service endpoint URL на https://adfs.company.local/adfs/ls/. Данный сервер должен быть доступет по этой ссылке из обоих доменов.

После этого необходимо изменить правила заявки. Для этого в оснастке Active Directory Federation Services необходимо перейти в раздел Trust Policy -> My Organization, после чего необходимо в оснастке выбрать Organization Claims. В Organization Claims нажать правой кнопку мыши и выбрать New -> Organization Claim. В открывшемся окне необходимо назначить имя параметра Claim name, лучше всего использовать ассоциативные имена, на сайте http://technet.microsoft.com рекомендуют использовать имя – ProxyAddresses, такое имя рекомендую использовать и я. Параметр Claim name чувствителен к регистру, поэтому будьте внимательней, когда задаете имя переменной. Тип переменной необходимо установить как Custom claim.

Следующим шагом будет добавление хранилища учетных записей. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization, в этом разделе нажать правой кнопкой мыши на Account Stores и выбрать New -> Account Stores. В открывшемся окне необходимо параметр Account Store Type установить как Active Directory Domain Services и нажать Next, также вы можете использовать Active Directory Lightweight Directory Services. На следующем шаге необходимо выбрать Enable this account store. После чего необходимо дважды кликнуть на E-mail для того чтобы указать какой LDAP attribute будет передоватся с этой переменной, в открывшемся окне установить галочку напротив Enabled и параметр LDAP attribute задать как mail. Далее в этой же оснастке необходимо кликнуть правой кнопкой на Active Directory и выбрать New -> Custom claim extraction в открывшемся окне параметр Attribute ввести ProxyAddresses, который был создан ранее.

Теперь необходимо настроить pipeline между Active Directory Federation Services и нашим кластером Active Directory Rights Management Services. Для этого в оснастке Active Directory Federation Services необходимо перейти по пути Trust Policy -> My Organization и нажать правую кнопку мыши на разделе Applications, после чего в меню выбрать New -> Application. В открывшемся окне мастера необходимо значение параметра Application Type изменить на Claims-aware application и нажать кнопку Next. На следующем шаге мастрера задаётся название приложения и его URL, для этого заполняется параметр Application display name, а в Application URL пишем https://adrms.company.local/_wmcs/certificationexternal/. После чего на странице мастера с названием Accepted Identity Claims, поставте галочки напротив User principal name (UPN) и E-mail. На следующем шаге необходимо обязательно поставить галочку возле Enable this application, иначе преложение не будет работать. По окончанию работы мастера в разделе Application появиться наше приложение, и нам необходимо в его настройках включить Custom Claim который мы назвали ProxyAddresses. Таким образом, мы создали pipeline с приложение Active Directory Rights Management Services, которое выдаёт пользовательские сертификаты.

Теперь нам необходимо создать такой же pipeline для службы лицензирования Active Directory Rights Management Services. Для этого в оснастке Active Directory Federation Services необходимо перейти по пути Trust Policy -> My Organization и нажать правую кнопку мыши на разделе Applications, после чего в меню выбрать New -> Application. В открывшемся окне мастера необходимо значение параметра Application Type изменить на Claims-aware application и нажать кнопку Next. На следующем шаге мастрера задаётся название приложения и его URL, для этого заполняется параметр Application display name, а в Application URL пишем на https://adrms.company.local/_wmcs/licensingexternal/. После чего на странице мастера с названием Accepted Identity Claims, поставте галочки напротив User principal name (UPN) и E-mail. На следующем шаге необходимо обязательно поставить галочку возле Enable this application, иначе преложение не будет работать. По окончанию работы мастера в разделе Application появиться наше приложение, и нам необходимо в его настройках включить Custom Claim который мы назвали ProxyAddresses. Таким образом, мы создали pipeline с приложение Active Directory Rights Management Services, которое выдаёт пользовательские лицензии.

Настройка Active Directory Rights Management Services Company.Local

Теперь необходимо подготовить все наши сервера, которые входят кластер Active Directory Rights Management Services для работы с Active Directory Federation Services. Во первых необходимо пользователю от имени которого работает Active Directory Rights Management Services выставить привилегии на генерированя аудита безопасности. Для этого необходимо настроить локальную групповую политику с помощью оснастки gpedit.msc, в ней перейти в Computer configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment, и изменить параметр Generate security audits, добавив пользователя, от имени которого работает Active Directory Rights Management Services.

После этого необходимо включить Extranet cluster URL для нашего Active Directory Rights Management Services кластера. Это можно сделать, нажав на имени кластера правой кнопкой мыши и выбрать Propertiesи в открывшемся окне свойств выбрать закладку Cluster URLs. В этой вкладке необходимо поставить галочку напротив Extranet URLs и ввести значения адреса кластера лицензирования и сертификации в нашем случае это будет adrms.company.local, причем протокол обязательно должен быть HTTPS. Только после этого на всех серверах необходимо установить роль Identity Federation Support, которая является частью роли Active Directory Rights Management Services. Когда во время установки спросит адрес нашего Active Directory Federation Services сервера необходимо ввести adfs.company.local и нажать кнопку Validate.

Когда установлена роль Identity Federation Support для Active Directory Rights Management Services, необходимо в настройках кластера сделать еще небольшое изменение. Для этого войдем в консоль управления Active Directory Rights Management Services и в ней включим Federated Identity Support, нажав на Enable Federated Identity Support, который находиться с правой стороны оснастки. При необходимости, можно установить на какой срок будет выдаваться сертификат федеративному пользователю. Для этого необходимо нажать на Properties, предварительно выбрав Federated Identity Support, и в открывшемся окне изменить параметр Federated Identity Certificate validity period. После этого наш кластер Active Directory Rights Management Services полностью готов для работы с Active Directory Federation Services.

Настройка Active Directory Federation Services Partner.Local

После этого осталось настроить только доверительные отношение между Active Directory Federation Services компании и партнером. Для начала приступим к настройке с Active Directory Federation Services сервера компании партнера. На уже за ранее установленном сервере в компании партнере необходимо изменить имя сервера, используя которое сервер будет представляться. Что бы это сделать необходимо зайти в оснастку Federation Service, нажать правой кнопкой мыши на Trust Policy и выбрать Properties. В открывшемся окне необходимо изменить параметр Federation Service URI, как пример можно использовать имя myurn:federation:partner.local, а параметр Federation Service endpoint URL на https://adfs.partner.local/adfs/ls/

После этого необходимо изменить правила заявки. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Organization Claim. В открывшемся окне необходимо назначить имя параметра Claim name, лучше всего использовать ассоциативные имена, на сайте TechNet.com рекомендуют использовать имя – ProxyAddresses. Параметр Claim name чувствителен к регистру, поэтому будьте внимательней. Тип переменной необходимо установить как Custom claim.

Теперь добавим в оснастке Active Directory Federation Services информацию о Active Directory Federation Services сервере компании company.local, которая необходима для работы Active Directory Federation Services компании partner.local. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> Partner Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Resource Partner. На странице Resource Partner Details необходимо заполнить следующие данные: Display name, Federation Service URI, Federation Service endpoint URL. Federation Service URI должен быт myurn:federation:company.local, Federation Service endpoint URL – https://adfs.company.local/adfs/ls/. На следующей странице мастера для параметра Federation Scenario выберите Federated Web SSO и нажмите Next. Далее установите галочки напротив UPN Claim и E-mail Claim. И на последнем шаге не забываем поставить галочку напротив Enable this resource partner. После этого на созданном resource partner необходимо кликнуть правой кнопкой мыши и выбрать New -> Outgoing Custom Claim Mapping. В открывшемся окне для параметра Outgoing custom claim name ввести ProxyAddresses.

Теперь осталось настроить доверия к компании партнеру (partner.local) на сервер Active Directory Federation Services компании company.local. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> Partner Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Account Partner. На странце мастера Resource Partner Details необходимо задать значения для параметров Display name, Federation Service URI, Federation Service endpoint URL. Параметр Federation Service URI должен быть myurn:federation:partner.local, а параметр Federation Service endpoint URL должен быть https://adfs.partner.local/adfs/ls/. На следующей страницу вам необходимо выбрать сертификат которым будут подписаны токены, его необходимо получить от партнера (импортировать с сервера компании partner.local). Далее необходимо выбрать Federated Web SSO. При выборе клеймов необходимо выбрать UPN Claim и E-mail Claim. После чего необходимо задать параметры Accepted UPN Suffixes и Accept E-mail Suffixes, их значение должно быть partner.local. На последнем шаге необходимо поставить галочку напротив Enable this account partner. После этого на созданном resource partner необходимо кликнуть правой кнопкой мыши и выбрать New -> Outgoing Custom Claim Mapping. В открывшемся окне для параметра Outgoing custom claim name ввести ProxyAddresses.

Хочу обратить ваше внимание, что у пользователей компании parent.local необходимо изменить реестр. По адресу HKEY_LOCAL_MACHINE\Microsoft\MSDRM\Federation\ необходимо добавить переменную с именем FederationHomeRealm, типом String Value и значением myurn:federation:partner.local.

Рубрики:Active Directory Метки:
  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: