SlideShare a Scribd company logo

Active directory federation services

Download as DOCX, PDF
P
PhuocNguyen231

test

Design
1 of 63
Active Directory Federation Services (AD FS) trong Windows Server 2008 *** I. Giới thiệu Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau. Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác, người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp). Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng. Trong môi trường liên đoàn (federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác. Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO). ADFS hỗ trợ giải pháp SSO trên nền web trong một phiên làm việc của người dùng. Đối với ADFS có hai loại tổ chức: - Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có thể được truy cập từ các đối tác tin cậy. - Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên. Bài lab này có 5 bước: 1. Các tác vụ cần thực hiện trước khi cài đặt ADFS 2. Cài đặt role ADFS và cấu hình certificate 3. Cấu hình web server 4. Cấu hình federation server 5. Truy cập ứng dụng từ máy client II. Chuẩn bị Ta cần 4 máy với các yêu cầu sau: Tên computer ADFS client/server role Hệ điều hành IPv4/SM DNS PC49 Client - Windows XP SP2 - Windows Vista 192.168.1.49/24 - Preferred: 192.168.1.34 - Alternate: 192.168.1.32 PC34 Federation server and domain controller W2K8 Enterprise 192.168.1.34/24 192.168.1.34
PC31 Web server W2K8 Enterprise 192.168.1.31/24 192.168.1.32 PC32 Federation server and domain controller W2K8 Enterprise 192.168.1.32/24 192.168.1.32 III. Thực hiện 1. Các tác vụ cần thực hiện trước khi cài đặt ADFS B1: Install AD DS lên máy PC32, domain name nhatnghe32.local -> PC32.nhatnghe32.local. Domain nhatnghe32.local đóng vai trò resource organization. B2: Install AD DS lên máy PC34, domain name nn34.local -> PC34.nn34.local. Domain nn34.local đóng vai trò account organization. B3: Trên máy PC34: - tạo security global group TreyClaimAppUsers - tạo user u1, đưa u1 vào group TreyClaimAppUsers B4: Join máy PC31 vào domain nhatnghe32.local -> PC31.nhatnghe32.local. Cài đặt IIS. B5: Join máy PC49 vào domain nn34.local -> PC49.nn34.local 2. Cài đặt role ADFS và cấu hình certificate 2.1. Cài đặt ADFS Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. Sau khi cài Federation Service, 2 máy DC này trở thành federation server. B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Federation Service -> chọn Add Required Role services -> Next
B4: Chọn Create a self-signed certificate for SSL encryption -> Next B5: Chọn Create a self-signed token-signing certificate -> Next
B6: Chọn Create a new trust policy -> Next -> Next B7: Chọn Next -> Install -> Close
2.2. Cấu hình IIS (SSL) trên 2 federation server Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. B1: Mở IIS Manager -> PC32 -> Sites -> Default Web Site B2: Double click SSL Settings
B3: Chọn Require SSL, mục Client certificates chọn Accept -> Apply 2.3. Cài đặt AD FS Web Agent
Thực hiện trên máy Web server (PC31). B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Claims-aware Agent -> Next -> Install -> Close B4: Add thêm role service Client Certificate Mapping Authentication vào role Web Server (IIS)
2.4. Tạo, xuất, và nhập certificate 1. Tạo server authentication certificate cho web server (PC31) Thực hiện trên máy Web server (PC31). B1: Mở IIS Manager -> PC31 B2: Double click Server Certificates
B3: Trong phần Actions chọn Create Self-Signed Certificate B4: Nhập PC31 -> OK
B5: Kiểm tra web server đã có certificate 2. Xuất token-signing certificate cùa account server (PC34) thành file Thực hiện trên máy account server (PC34). B1: Mở Active Directory Federation Services B2: Right click Federation Service -> Properties B3: Tab General -> click View
B4: Tab Details -> click Copy to File -> Next
B5: Click No, do not export the private key -> Next
B6: Click DER encoded binary X.509 (.CER) -> Next
B7: Nhập C:pc34_ts.cer -> Next -> Finish -> OK -> OK -> OK 3. Xuất server authentication certificate của resource server (PC32) thành file Thực hiện trên máy resource server (PC32). B1: Mở IIS Manager -> PC32 B2: Double click Server Certificates
B3: Right click PC32.nhatnghe32.local -> Export
B4: Nhập C:PC32.pfx vào mục Export to, nhập password và confirm password -> OK 4. Nhập server authentication certificate của resource server (PC32) vào web server (PC31) Thực hiện trên máy web server (PC31). B1: Start -> Run -> mmc -> OK
B2: Click menu File -> Add/Remove Snap-in B3: Click Certificates -> Add -> Computer account -> Next -> Local computer -> Finish -> OK B4: Certificates (Local Computer) -> Trusted Root Certification Authorities -> Right click Certificates -> All Tasks -> Import -> Next B5: Nhập pc32c$pc32.pfx -> Next
B6: Nhập password -> Next
B7: Next -> Finish -> OK
B8: Kiểm tra thấy đã có certificate của resource server (PC32) 3. Cấu hình web server Thực hiện trên máy web server (PC31).
3.1. Cấu hình IIS trên web server B1: Mở IIS Manager -> PC31 -> Sites -> Right click Default Web Site -> Edit Bidings B2: Click Add B3: Mục Type chọn https, mục SSL certificate chọn PC31 -> OK -> Close
B4: Double click SSL Settings B5: Chọn Require SSL, mục Client certificates chọn Accept -> Apply
3.2. Tạo và cấu hình ứng dụng B1: Tạo folder claimapp trong C:inetpubwwwroot. Chép 3 file ... vào folder C:inetpubwwwroot claimapp B2: Mở IIS Manager -> PC31 -> Sites -> Right Default Web Site -> Add Application
B3: Mục Alias nhập ClaimApp, mục Application pool chọn Classic .NET AppPool, mục Physical path chọn C:inetpubwwwrootclaimapp -> OK 4. Cấu hình federation server 4.1. Cấu hình federation service cho domain nn34.local (account domain) Thực hiện trên máy account server (PC34). 1. Cấu hình trust policy cho domain nn34.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI, nhập urn:federation:nn34
B3: Tab Display Name, mục Display name for this trust policy, nhập pc34 -> OK
2. Tạo group cho ứng dụng B1: Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name, nhập nhatnghe32 ClaimApp Claim -> OK
B3: Xác nhận đã có “nhatnghe32 ClaimApp Claim” 3. Thêm và cấu hình AD DS account store Thêm AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Store -> Next
B2: Click Next B3: Click Next -> Finish
B4: Xác nhận AD DS account store đã được thêm vào Cấu hình AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> Account Stores -> right click Active Directory -> New -> Group Claim Extraction
B2: Click Add -> nhập TreyClaimAppUsers -> OK -> OK B3: Xác nhận đã có group TreyClaimAppUsers
4.2. Cấu hình federation service cho domain nhatnghe32.local (resource domain) Thực hiện trên máy resource server (PC32). 1. Cấu hình trust policy cho domain nhatnghe32.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI nhập urn:federation:nhatnghe32
B3: Tab Display Name, mục Display name for this trust policy nhập pc32 -> OK
2. Tạo group cho ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name nhập nn34 ClaimApp Claim -> OK
B3: Xác nhận đã có “nn34 ClaimApp Claim” 3. Thêm AD DS account store B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Stores -> Next
B2: Next B3: Next -> Finish
B4: Xác nhận AD DS account store đã được thêm vào 4. Thêm và cấu hình ứng dụng Thêm ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Applications -> New -> Application -> Next
B2: Click Next B3: Mục Application display name nhập Claims-aware Application. Mục Application URL nhập https://pc31.nhatnghe32.local/claimapp/ -> Next
B4: Chọn User principal name (UPN) -> Next
B5: Click Next -> Finish
B6: Xác nhận ứng dụng đã được thêm vào Cấu hình ứng dụng B1: Trong Applications -> Claims-aware Application -> right click nn34 ClaimApp Claim -> Enable
B2: Xác nhận ứng dụng đã được enable 4.3. Cấu hình federation trust 1. Xuất trust policy từ nn34 B1: AD FS -> Federation Service -> right click Trust Policy -> Export Basic Partner Policy B2: Click Browse -> nhập C:pc34 -> Save -> OK
2. Nhập trust policy nn34 vào nhatnghe32 B1: AD FS -> Federation Service -> Trust Policy -> Partner Organizations -> righr click Account Partners - > New -> Account Partner -> Next B2: Mục Partner interoperability policy file nhập pc34c$pc34.xml -> Next
B3: Click Next
B4: Click Next
B5: Click Next
B6: Click Next
B7: Nhập nn34.local -> Add -> Next
B8: Nhập nn34.local -> Add -> Next
B9: Click Next -> Finish
B10: Account Partner đã được thêm vào 3. Tạo một claim mapping trong nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> New -> Incoming Group Claim Mapping
B2: Mục Incoming group claim name nhập ClaimAppMapping -> OK B3: ClaimAppMapping đã được thêm vào
4. Xuất partner policy từ nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> Export Policy B2: Click Browse -> nhập C:pc32 -> Save -> OK
5. Nhập partner policy nhatnghe32 sang nn34 Máy pc34. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> right click Resource Partners -> New -> Resource Partner -> Next B2: Click Yes -> mục Partner interoperability policy file nhập pc32c$pc32.xml -> Next
B3: Click Next
B4: Click Next
B5: Click Next
B6:
B7: Click Next
B8: Mục Mapping chọn nhatnghe32 ClaimApp Claim -> Next
B9: Click Next -> Finish
B10: Resource Partner đã được thêm vào 5. Truy cập ứng dụng từ máy client 5.1. Cấu hình IE để tin cậy server pc34.nn34.local Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> Tools -> Internet Options -> Security -> Local Intranet -> Sites -> Advanced -> Add this Web site to the zone: nhập https://pc34.nn34.local -> Add -> OK -> OK -> OK
5.2. Truycập ứng dụng từ client Windows XP Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> nhập https://pc31.nhatnghe32.local/claimapp -> mục Choose your home realm chọn pc34 -> Submit B3: Xuất hiện ứng dụng SSO Sample
Châu Tuấn

Recommended

Bao cao giua ky de tai quan tri he thong mang windown server 2008
Bao cao giua ky de tai quan tri he thong mang windown server 2008Bao cao giua ky de tai quan tri he thong mang windown server 2008
Bao cao giua ky de tai quan tri he thong mang windown server 2008chuong thai
 
Baocaogiuaky
BaocaogiuakyBaocaogiuaky
Baocaogiuakychuong thai
 
Ex 2k7 tren win 2k8
Ex 2k7 tren win 2k8Ex 2k7 tren win 2k8
Ex 2k7 tren win 2k8Luis6969
 
Chuong1 active directory domain
Chuong1 active directory domainChuong1 active directory domain
Chuong1 active directory domainHoangbach Nguyen
 
Part 38 isa server - server publishing - configuration -www.key4_vip.info
Part 38 isa server - server publishing - configuration -www.key4_vip.infoPart 38 isa server - server publishing - configuration -www.key4_vip.info
Part 38 isa server - server publishing - configuration -www.key4_vip.infolaonap166
 
Báo Cáo Cuối Kỳ
Báo Cáo Cuối KỳBáo Cáo Cuối Kỳ
Báo Cáo Cuối KỳLy ND
 
Domain controller join domain
Domain controller join domainDomain controller join domain
Domain controller join domaincuongcong15
 
Lab direct access service
Lab direct access serviceLab direct access service
Lab direct access servicelaonap166
 

Recommended

Bao cao giua ky de tai quan tri he thong mang windown server 2008
Bao cao giua ky de tai quan tri he thong mang windown server 2008Bao cao giua ky de tai quan tri he thong mang windown server 2008
Bao cao giua ky de tai quan tri he thong mang windown server 2008chuong thai
 
Baocaogiuaky
BaocaogiuakyBaocaogiuaky
Baocaogiuakychuong thai
 
Ex 2k7 tren win 2k8
Ex 2k7 tren win 2k8Ex 2k7 tren win 2k8
Ex 2k7 tren win 2k8Luis6969
 
Chuong1 active directory domain
Chuong1 active directory domainChuong1 active directory domain
Chuong1 active directory domainHoangbach Nguyen
 
Part 38 isa server - server publishing - configuration -www.key4_vip.info
Part 38 isa server - server publishing - configuration -www.key4_vip.infoPart 38 isa server - server publishing - configuration -www.key4_vip.info
Part 38 isa server - server publishing - configuration -www.key4_vip.infolaonap166
 
Báo Cáo Cuối Kỳ
Báo Cáo Cuối KỳBáo Cáo Cuối Kỳ
Báo Cáo Cuối KỳLy ND
 
Domain controller join domain
Domain controller join domainDomain controller join domain
Domain controller join domaincuongcong15
 
Lab direct access service
Lab direct access serviceLab direct access service
Lab direct access servicelaonap166
 
Cài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winrouteCài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winrouteNgo Quang Khanh
 
Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2laonap166
 
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6laonap166
 
Vpn
VpnVpn
VpnNhật Trinh
 
Hdsd plesk 11
Hdsd plesk 11Hdsd plesk 11
Hdsd plesk 11laonap166
 
Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...laonap166
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1vuhosking
 
Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1td1021
 
Slide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối KỳSlide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối KỳLy ND
 
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008laonap166
 
Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012laonap166
 
Slide bao cao giua ky
Slide bao cao giua kySlide bao cao giua ky
Slide bao cao giua kyBin Hoo
 
Vpn : client to site và vpn site to site
Vpn : client to site và vpn site to siteVpn : client to site và vpn site to site
Vpn : client to site và vpn site to siteKhỉ Lùn
 
Vpn client to site và vpn site to site
Vpn client to site và vpn site to siteVpn client to site và vpn site to site
Vpn client to site và vpn site to siteHoàng Phi Lục
 
Vpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phiVpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phiHoàng Phi Lục
 
Báo Cáo Hàng Tuần
Báo Cáo Hàng TuầnBáo Cáo Hàng Tuần
Báo Cáo Hàng TuầnBin Hoo
 

More Related Content

Similar to Active directory federation services

Cài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winrouteCài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winrouteNgo Quang Khanh
 
Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2laonap166
 
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6laonap166
 
Hdsd plesk 11
Hdsd plesk 11Hdsd plesk 11
Hdsd plesk 11laonap166
 
Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...laonap166
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpNhật Trinh
 
Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1vuhosking
 
Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1td1021
 
Slide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối KỳSlide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối KỳLy ND
 
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008laonap166
 
Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012laonap166
 
Slide bao cao giua ky
Slide bao cao giua kySlide bao cao giua ky
Slide bao cao giua kyBin Hoo
 
Vpn : client to site và vpn site to site
Vpn : client to site và vpn site to siteVpn : client to site và vpn site to site
Vpn : client to site và vpn site to siteKhỉ Lùn
 
Vpn client to site và vpn site to site
Vpn client to site và vpn site to siteVpn client to site và vpn site to site
Vpn client to site và vpn site to siteHoàng Phi Lục
 
Vpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phiVpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phiHoàng Phi Lục
 
Báo Cáo Hàng Tuần
Báo Cáo Hàng TuầnBáo Cáo Hàng Tuần
Báo Cáo Hàng TuầnBin Hoo
 

Similar to Active directory federation services (20)

Cài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winrouteCài đặt và cấu hình kerio winroute
Cài đặt và cấu hình kerio winroute
 
Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2Cài đặt exchange 2013 trên windows server 2008 r2
Cài đặt exchange 2013 trên windows server 2008 r2
 
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
Cách cấu hình đăng nhập 1 lần sso giữa ad server với v center 6
 
Vpn
VpnVpn
Vpn
 
Hdsd plesk 11
Hdsd plesk 11Hdsd plesk 11
Hdsd plesk 11
 
Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...Part 45 upgrade server 2008 - internet information services - iis -www.key4...
Part 45 upgrade server 2008 - internet information services - iis -www.key4...
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1Báo cáo thực tập Tuần 1
Báo cáo thực tập Tuần 1
 
Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1Báo cáo thưc tập tuần 1
Báo cáo thưc tập tuần 1
 
Slide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối KỳSlide Báo Cáo Cuối Kỳ
Slide Báo Cáo Cuối Kỳ
 
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
Quản lý băng thông bằng windows quality of service (QoS) Trên windows sv 2008
 
Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012Triển khai nhiều domain controller chạy song song trên windows server 2012
Triển khai nhiều domain controller chạy song song trên windows server 2012
 
Slide bao cao giua ky
Slide bao cao giua kySlide bao cao giua ky
Slide bao cao giua ky
 
Vpn : client to site và vpn site to site
Vpn : client to site và vpn site to siteVpn : client to site và vpn site to site
Vpn : client to site và vpn site to site
 
Vpn client to site và vpn site to site
Vpn client to site và vpn site to siteVpn client to site và vpn site to site
Vpn client to site và vpn site to site
 
Vpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phiVpn client to site và vpn site to site phi
Vpn client to site và vpn site to site phi
 
Báo Cáo Hàng Tuần
Báo Cáo Hàng TuầnBáo Cáo Hàng Tuần
Báo Cáo Hàng Tuần
 

Active directory federation services

  • 1. Active Directory Federation Services (AD FS) trong Windows Server 2008 *** I. Giới thiệu Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau. Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác, người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp). Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng. Trong môi trường liên đoàn (federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác. Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO). ADFS hỗ trợ giải pháp SSO trên nền web trong một phiên làm việc của người dùng. Đối với ADFS có hai loại tổ chức: - Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có thể được truy cập từ các đối tác tin cậy. - Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên. Bài lab này có 5 bước: 1. Các tác vụ cần thực hiện trước khi cài đặt ADFS 2. Cài đặt role ADFS và cấu hình certificate 3. Cấu hình web server 4. Cấu hình federation server 5. Truy cập ứng dụng từ máy client II. Chuẩn bị Ta cần 4 máy với các yêu cầu sau: Tên computer ADFS client/server role Hệ điều hành IPv4/SM DNS PC49 Client - Windows XP SP2 - Windows Vista 192.168.1.49/24 - Preferred: 192.168.1.34 - Alternate: 192.168.1.32 PC34 Federation server and domain controller W2K8 Enterprise 192.168.1.34/24 192.168.1.34
  • 2. PC31 Web server W2K8 Enterprise 192.168.1.31/24 192.168.1.32 PC32 Federation server and domain controller W2K8 Enterprise 192.168.1.32/24 192.168.1.32 III. Thực hiện 1. Các tác vụ cần thực hiện trước khi cài đặt ADFS B1: Install AD DS lên máy PC32, domain name nhatnghe32.local -> PC32.nhatnghe32.local. Domain nhatnghe32.local đóng vai trò resource organization. B2: Install AD DS lên máy PC34, domain name nn34.local -> PC34.nn34.local. Domain nn34.local đóng vai trò account organization. B3: Trên máy PC34: - tạo security global group TreyClaimAppUsers - tạo user u1, đưa u1 vào group TreyClaimAppUsers B4: Join máy PC31 vào domain nhatnghe32.local -> PC31.nhatnghe32.local. Cài đặt IIS. B5: Join máy PC49 vào domain nn34.local -> PC49.nn34.local 2. Cài đặt role ADFS và cấu hình certificate 2.1. Cài đặt ADFS Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. Sau khi cài Federation Service, 2 máy DC này trở thành federation server. B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Federation Service -> chọn Add Required Role services -> Next
  • 3. B4: Chọn Create a self-signed certificate for SSL encryption -> Next B5: Chọn Create a self-signed token-signing certificate -> Next
  • 4. B6: Chọn Create a new trust policy -> Next -> Next B7: Chọn Next -> Install -> Close
  • 5. 2.2. Cấu hình IIS (SSL) trên 2 federation server Lần lượt thực hiện trên 2 máy DC: PC32 và PC34. B1: Mở IIS Manager -> PC32 -> Sites -> Default Web Site B2: Double click SSL Settings
  • 6. B3: Chọn Require SSL, mục Client certificates chọn Accept -> Apply 2.3. Cài đặt AD FS Web Agent
  • 7. Thực hiện trên máy Web server (PC31). B1: Mở Server Manager -> Roles -> Add Roles -> Next B2: Chọn Active Directory Federation Services -> Next -> Next B3: Chọn Claims-aware Agent -> Next -> Install -> Close B4: Add thêm role service Client Certificate Mapping Authentication vào role Web Server (IIS)
  • 8. 2.4. Tạo, xuất, và nhập certificate 1. Tạo server authentication certificate cho web server (PC31) Thực hiện trên máy Web server (PC31). B1: Mở IIS Manager -> PC31 B2: Double click Server Certificates
  • 9. B3: Trong phần Actions chọn Create Self-Signed Certificate B4: Nhập PC31 -> OK
  • 10. B5: Kiểm tra web server đã có certificate 2. Xuất token-signing certificate cùa account server (PC34) thành file Thực hiện trên máy account server (PC34). B1: Mở Active Directory Federation Services B2: Right click Federation Service -> Properties B3: Tab General -> click View
  • 11. B4: Tab Details -> click Copy to File -> Next
  • 12. B5: Click No, do not export the private key -> Next
  • 13. B6: Click DER encoded binary X.509 (.CER) -> Next
  • 14. B7: Nhập C:pc34_ts.cer -> Next -> Finish -> OK -> OK -> OK 3. Xuất server authentication certificate của resource server (PC32) thành file Thực hiện trên máy resource server (PC32). B1: Mở IIS Manager -> PC32 B2: Double click Server Certificates
  • 15. B3: Right click PC32.nhatnghe32.local -> Export
  • 16. B4: Nhập C:PC32.pfx vào mục Export to, nhập password và confirm password -> OK 4. Nhập server authentication certificate của resource server (PC32) vào web server (PC31) Thực hiện trên máy web server (PC31). B1: Start -> Run -> mmc -> OK
  • 17. B2: Click menu File -> Add/Remove Snap-in B3: Click Certificates -> Add -> Computer account -> Next -> Local computer -> Finish -> OK B4: Certificates (Local Computer) -> Trusted Root Certification Authorities -> Right click Certificates -> All Tasks -> Import -> Next B5: Nhập pc32c$pc32.pfx -> Next
  • 19. B7: Next -> Finish -> OK
  • 20. B8: Kiểm tra thấy đã có certificate của resource server (PC32) 3. Cấu hình web server Thực hiện trên máy web server (PC31).
  • 21. 3.1. Cấu hình IIS trên web server B1: Mở IIS Manager -> PC31 -> Sites -> Right click Default Web Site -> Edit Bidings B2: Click Add B3: Mục Type chọn https, mục SSL certificate chọn PC31 -> OK -> Close
  • 22. B4: Double click SSL Settings B5: Chọn Require SSL, mục Client certificates chọn Accept -> Apply
  • 23. 3.2. Tạo và cấu hình ứng dụng B1: Tạo folder claimapp trong C:inetpubwwwroot. Chép 3 file ... vào folder C:inetpubwwwroot claimapp B2: Mở IIS Manager -> PC31 -> Sites -> Right Default Web Site -> Add Application
  • 24. B3: Mục Alias nhập ClaimApp, mục Application pool chọn Classic .NET AppPool, mục Physical path chọn C:inetpubwwwrootclaimapp -> OK 4. Cấu hình federation server 4.1. Cấu hình federation service cho domain nn34.local (account domain) Thực hiện trên máy account server (PC34). 1. Cấu hình trust policy cho domain nn34.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI, nhập urn:federation:nn34
  • 25. B3: Tab Display Name, mục Display name for this trust policy, nhập pc34 -> OK
  • 26. 2. Tạo group cho ứng dụng B1: Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name, nhập nhatnghe32 ClaimApp Claim -> OK
  • 27. B3: Xác nhận đã có “nhatnghe32 ClaimApp Claim” 3. Thêm và cấu hình AD DS account store Thêm AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Store -> Next
  • 28. B2: Click Next B3: Click Next -> Finish
  • 29. B4: Xác nhận AD DS account store đã được thêm vào Cấu hình AD DS account store B1: Federation Service -> Trust Policy -> My Organization -> Account Stores -> right click Active Directory -> New -> Group Claim Extraction
  • 30. B2: Click Add -> nhập TreyClaimAppUsers -> OK -> OK B3: Xác nhận đã có group TreyClaimAppUsers
  • 31. 4.2. Cấu hình federation service cho domain nhatnghe32.local (resource domain) Thực hiện trên máy resource server (PC32). 1. Cấu hình trust policy cho domain nhatnghe32.local B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties B2: Tab General, mục Federation Service URI nhập urn:federation:nhatnghe32
  • 32. B3: Tab Display Name, mục Display name for this trust policy nhập pc32 -> OK
  • 33. 2. Tạo group cho ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Organization Claims -> New -> Organization Claim B2: Mục Claim name nhập nn34 ClaimApp Claim -> OK
  • 34. B3: Xác nhận đã có “nn34 ClaimApp Claim” 3. Thêm AD DS account store B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Account Stores -> New -> Account Stores -> Next
  • 35. B2: Next B3: Next -> Finish
  • 36. B4: Xác nhận AD DS account store đã được thêm vào 4. Thêm và cấu hình ứng dụng Thêm ứng dụng B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Applications -> New -> Application -> Next
  • 37. B2: Click Next B3: Mục Application display name nhập Claims-aware Application. Mục Application URL nhập https://pc31.nhatnghe32.local/claimapp/ -> Next
  • 38. B4: Chọn User principal name (UPN) -> Next
  • 39. B5: Click Next -> Finish
  • 40. B6: Xác nhận ứng dụng đã được thêm vào Cấu hình ứng dụng B1: Trong Applications -> Claims-aware Application -> right click nn34 ClaimApp Claim -> Enable
  • 41. B2: Xác nhận ứng dụng đã được enable 4.3. Cấu hình federation trust 1. Xuất trust policy từ nn34 B1: AD FS -> Federation Service -> right click Trust Policy -> Export Basic Partner Policy B2: Click Browse -> nhập C:pc34 -> Save -> OK
  • 42. 2. Nhập trust policy nn34 vào nhatnghe32 B1: AD FS -> Federation Service -> Trust Policy -> Partner Organizations -> righr click Account Partners - > New -> Account Partner -> Next B2: Mục Partner interoperability policy file nhập pc34c$pc34.xml -> Next
  • 47. B7: Nhập nn34.local -> Add -> Next
  • 48. B8: Nhập nn34.local -> Add -> Next
  • 49. B9: Click Next -> Finish
  • 50. B10: Account Partner đã được thêm vào 3. Tạo một claim mapping trong nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> New -> Incoming Group Claim Mapping
  • 51. B2: Mục Incoming group claim name nhập ClaimAppMapping -> OK B3: ClaimAppMapping đã được thêm vào
  • 52. 4. Xuất partner policy từ nhatnghe32 Máy pc32. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account Partners -> right click pc34 -> Export Policy B2: Click Browse -> nhập C:pc32 -> Save -> OK
  • 53. 5. Nhập partner policy nhatnghe32 sang nn34 Máy pc34. B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> right click Resource Partners -> New -> Resource Partner -> Next B2: Click Yes -> mục Partner interoperability policy file nhập pc32c$pc32.xml -> Next
  • 57. B6:
  • 59. B8: Mục Mapping chọn nhatnghe32 ClaimApp Claim -> Next
  • 60. B9: Click Next -> Finish
  • 61. B10: Resource Partner đã được thêm vào 5. Truy cập ứng dụng từ máy client 5.1. Cấu hình IE để tin cậy server pc34.nn34.local Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> Tools -> Internet Options -> Security -> Local Intranet -> Sites -> Advanced -> Add this Web site to the zone: nhập https://pc34.nn34.local -> Add -> OK -> OK -> OK
  • 62. 5.2. Truycập ứng dụng từ client Windows XP Máy client pc49.nn34.local B1: Logon u1 B2: Mở IE -> nhập https://pc31.nhatnghe32.local/claimapp -> mục Choose your home realm chọn pc34 -> Submit B3: Xuất hiện ứng dụng SSO Sample