I forrige artikkel i denne serien, jeg forklarte litt om lab oppsett som vi skal bruke til å legge til rette arbeidsplassen delta. Jeg viste deg også hvordan du konfigurerer domenekontroller, slik at det også vil fungere som et foretak sertifiseringsinstans. I et produksjonsmiljø er det mye mer omsorg og planlegging som må gå inn i etableringen av et foretak sertifiseringsinstans, men for lab formål, hva vi har gjort vil være nok.
Med det sagt, er det neste at vi trenger å gjøre er å sette opp noen brukerkontoer som vi kan bruke for testing når vi får alt oppe og går. Microsoft ’ s etablert beste praksis har lenge uttalt at tillatelser skal brukes til grupper i stedet for brukerne. At det å være tilfelle, vil vi opprette en gruppe og deretter legge til en brukerkonto i den.
For vårt formål, jeg kommer til å lage en fiktiv bruker som heter John Doe. Vi vil late som John Doe jobber i markedsavdelingen, så jeg vil også opprette en gruppe som heter Markedsføring og legge John Doe i den gruppen, som vist i figur A.
Figur A: Jeg har opprettet en bruker som heter John Doe og lagt brukeren til en gruppe som heter markedsføring.
Opprette en tjenestekonto
Det neste trinnet i prosessen er å skape en tjenestekonto. I det siste betydde dette å skape en brukerkonto som da ville bli tildelt spesielle tillatelser for å lette oppgaven. I dette tilfellet derimot, må vi opprette en spesiell type tjeneste kontoen kalles et globalt Managed Service konto eller GSMA. Grunnen til at vi må skape denne tjenesten kontoen er fordi arbeidsplassen delta funksjonen er avhengig av Active Directory Federation Service, som igjen krever en tjenestekonto.
Tjenesten konto må opprettes via Windows Powershell. Den faktiske kommandoer du vil gå avhenger av din egen unike konfigurasjon, men kommandoene vil se omtrent slik ut:
Add-KdsRootKey – EffectiveTime (Get-Date) .AddHours (-10)
< p> Ny-ADServiceAccount FsGmsa -DNSHostName ADFS.BYOD-Lab.com -ServicePrincipalNames http /ADFS.BYOD-Lab.com
Som du ser ovenfor, er det to kommandoer som du må skrive. Den første kommandoen kan inngås Powershell nøyaktig slik du ser her. Den andre kommandoen vil måtte endres for å gjenspeile DNS navnekonvensjonene som benyttes i egen organisasjon. Både DNSHostName og ServicePrincipalNames må være unikt for ditt eget miljø. Du kan se hva disse kommandoene ser ut i aksjon i figur B.
Figur B:. Du må opprette en tjenestekonto som kan brukes av Active Directory Federation Service
Konfigurering av Active Directory Federation Service Server
I forrige artikkel, installerte vi Windows Server 2012 R2 til en virtuell maskin som heter ADFS og deretter sluttet som virtuell maskin i vår BYOD-Lab.com domene. Så langt har vi haven ’ t gjort noe annet med det virtuelle maskinen, men dette er i ferd med å endre seg. Vi trenger å tildele et SSL-sertifikat til ADFS server og vi deretter må bruke ADFS serveren rolle.
Som du kanskje husker, vi tidligere konfigurert vår domenekontroller til å doble som en bedrift sertifiseringsinstans. . Vi vil bruke dette sertifikatet myndighet til å utstede de nødvendige SSL-sertifikat
Vi trenger å be om et SSL-sertifikat og laste den ned til ADFS server ’ s sertifikatlageret. Når vi setter opp virksomheten sertifiseringsinstans i forrige artikkel, vi konfigurert den til å støtte Web påmelding. . Vår sertifiseringsinstans er faktisk vert for et webområde som du kan bruke til å be om et sertifikat
Problemet er at som standard sertifiseringsinstansen ’ s hjemmeside ikke er beskyttet med SSL-kryptering. Selv om nettstedet er tilgjengelig, du vant ’ t være i stand til å fullføre en forespørsel sertifikat med mindre økten er SSL kryptert. Vi trenger derfor å justere språk ’ s bindinger, slik som å aktivere SSL-kryptering
For å gjøre dette, åpne Server Manager på domenekontrolleren /sertifiseringsinstans, og klikk deretter på Verktøy-menyen.. Deretter velger Internet Information Services (IIS) Manager fra listen over verktøy
Når Internet Information Services (IIS) Manager åpnes, navigere gjennom konsolltreet til DC. | Nettsteder | Standard Web-område, som vist i figur C. Nå, klikk på Bindinger alternativet som vises i Handlinger-ruten
Figur C:. Velg standard nettstedet og deretter klikke på linken Bindinger
.
Når Bindinger dialogboksen vises, klikker du på knappen Legg til. Dette vil føre til Windows for å åpne Legg nettstedet Bindinger dialogboksen. Velg HTTPS fra Type nedtrekkslisten, og velg deretter riktig sertifikat fra SSL Certificate nedtrekkslisten, som vist i Figur D. Klikk OK, etterfulgt av Lukk for å fullføre prosessen
Figur D:. Set typen til HTTPS og deretter velge et SSL-sertifikat.
ber om sertifikat
Nå må du åpne sertifiseringsinstans webområde fra nettleseren på din ADFS virtuell maskin. Hvis du har fulgt instruksjonene i denne artikkelserien ordrett så kan du få tilgang til sertifikattjenester nettsiden: http://DC.BYOD-Lab.com/CertSrv Ellers erstatte din virksomhet sertifiseringsinstans ’ s FQDN for den som er vist her. Det er verdt å merke seg at du må skrive inn nettadressen som HTTPS i stedet for HTTP. Ellers sertifikatsøknaden vil mislykkes. Det er også verdt å merke seg at du må bruke en FQDN i nettadressen. Hvis du prøver å bruke en IP-adresse i stedet, vil du motta en sertifikatfeil.
Når du kommer til Microsoft Active Directory Certificate Services nettsted, blir du bedt om å logge inn. Du må bruke en konto med domene admin tillatelser. Du vil da bli tatt til skjermbildet i figur E.
Figur E: Dette er Microsoft Active Directory Certificate Services webområde
På dette punktet, må du klikke på. Be om et sertifikat link, etterfulgt av Request koblingen Advanced Certificate. På følgende skjermbilde, klikker du på alternativet for å opprette og sende en forespørsel til denne CA. Du kan se en melding som spør om du vil tillate operasjonen. Hvis du får denne meldingen, klikker du Ja.
På følgende skjermbilde, velg Web Server alternativ fra sertifikatmal nedtrekkslisten. Du må fylle ut feltet Navn med fullt kvalifiserte domenenavnet til din ADFS server. I mitt tilfelle, vil navnet være ADFS.BYOD-Lab.com. I tilfelle du lurer, navnet som du tildeler her vil være sertifikatet ’ s. Lagt navn
Du kan legge inn noe som du ønsker for den resterende identifiserende informasjon. Du bør la standardinnstillingene på plass i Key Valg-delen, som vist i Figur F.
Figur F:. Feltet Navn må gjenspeile din ADFS server ’ s fullstendig domenenavn
Nå, bla ned til delen Ekstra alternativer. Du kan beholde standardverdiene for anmodningen format og for hash-algoritmen. Imidlertid må du fylle ut attributter seksjon med emnet alternativt navn informasjon. Dette sertifikatet vil kreve to lagt alternative navn:
Alternative Name (DNS) Emne: ADFS.BYOD-Lab.com
Subject Alternative Name (DNS): enterpriseregistration.BYOD-Lab .com
Faget alternative navn må legges inn i et spesielt format. Igjen, må du bruke verdier som gjenspeiler navnekonvensjonene som du har brukt i din egen organisasjon. Hvis du bruker de samme navnekonvensjoner som jeg er, så attributtene vil se slik ut:
san: dns = ADFS.BYOD-Lab.com & dns = enterpriseregistration.BYOD-Lab.com Anmeldelser
Du kan se hvordan dette ser ut som i Figur G.
Figur G:. Du må fylle ut attributter feltet med SAN sertifikat informasjon
Klikk Send og sertifikatsøknaden vil bli generert. Forutsatt at forespørselen var vellykket, vil følgende siden spør deg om du vil installere sertifikatet. Klikk på Installer sertifikatet link. Etter en stund, bør du se en melding om at sertifikatet har blitt installert
Hvis du ønsker å bekrefte sertifikatet, skriv certmgr.msc på serveren ’ s. Kjør spør om å starte Certificate Manager. Navigere gjennom konsolltreet til Sertifikater | Personlig | Sertifikater. Sertifikatet som bare ble utstedt skal vises i detaljruten, som vist i Figur H. Du kan dobbeltklikke på sertifikatet for å undersøke detaljene hvis du ønsker
Figur H:. Dette er sertifikatet som har vært utstedt.
Konklusjon
Som du ser, det er ganske mye arbeid involvert i klargjøring av ADFS server med det nødvendige sertifikatet. Nå at sertifikatet er på plass kan vi imidlertid begynne å konfigurere ADFS server. Anmeldelser