3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory

Занятие 1 Концепция служб федерации Active Directory 8 6 1

Практические занятия. Подготовка к развертыванию AD FS

В п р и в е д е н н ы х далее упражнениях предлагается создать сложную среду AD FS, с о с т о я щ у ю из нескольких компьютеров. Их конфигурация описана в подразделе « П р е ж д е всего» в начале главы. В табл. 17-3 указаны роли каждого домена и компьютера в развертывании AD FS.

Табл. 17-3. Роли компьютеров в развертывании AD FS

Н а ч н и т е с подготовки DNS в каждом лесу, а затем приступайте к установке серверов ф е д е р а ц и и . Потом установите в обоих лесах прокси-серверы службы ф е д е р а ц и и , а в лесу ресурсов создайте веб-сайт AD FS.

ВНИМАНИЕ! Демилитаризованные зоны

Отметим, что данная структура не включает сеть по периметру, или демилитаризованную зону, для которой требуется сложная конфигурация TCP/IP, не связанная с практическими упражнениями в этой главе. Тем не менее включите в развертывание AD FS размещение соответствующих серверов в сети по периметру, как описано на занятии 1.

Упражнение 1. Настройка перекрестных ссылок DNS

В этом у п р а ж н е н и и предлагается отконфигурировать DNS-серверы в каждом лесу, чтобы ссылаться иа серверы в другом лесу. Поскольку леса не зависят друг от друга, их DNS - серверы не знают о существовании друг друга. Чтобы о б м е н и в а т ь с я и н ф о р м а ц и е й между лесами, необходимо реализовать в каждом лесу перекрестные ссылки DNS. Самый простой способ выполнить эту задачу — использовать пересылки ПУ одного домеиа в другой и наоборот.

1. З а п у с т и т е м а ш и н ы S E R V E R 0 1 и SERVER06 . Войдите па машину SER- V E R 0 1 как администратор домена.

2. В программной группе Администрирование (Administrative Tools) запустите Д и с п е т ч е р сервера (Server Manager).

г 8 5 2 Службы федерации Active Directory Глава 17

3. Разверните узел Р о л и \ О Ы З - с е р в е р \ О Ы 5 \ З Е И У Е 1 1 0 1 .

4. На панели дерева щелкните правой к н о п к о й м ы ш и S E R V E R 0 1 и выполните

8. Протестируйте результаты операции путем передачи пакетов ping с одного сервера на другой. Например, д л я передачи п а к е т о в p i n g с м а ш и н ы S E R - VEROI на компьютер S E R V E R 0 6 и с п о л ь з у й т е с л е д у ю щ у ю команду:

ping serverOi.contoso.соя

Вы должны получить ответ с у к а з а н и е м I P - а д р е с а м а ш и н ы S E R V E R O I .

Упражнение 2. Установка серверов федерации

Теперь установите серверы федерации . Д л я этого потребуется у с т а н о в и т ь роль сервера и необходимые службы п о д д е р ж к и .

1. Запустите машины SERVEROI, S E R V E R 0 3 , S E R V E R 0 6 и S E R V E R 0 7 . Войдите на машину S E R V E R 0 7 как а д м и н и с т р а т о р домеиа .

Для установи! AD FS и работы с н и м и п р и в и л е г и и у р о в н я а д м и н и с т р а т о -

2. В программной группе Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager),

3. На панели дерева щелкните правой к н о п к о й м ы ш и узел Р о л и (Roles) и выполните команду Добавить роли (Add Roles).

4. На странице Перед началом работы (Before You Begin) щелкните Далее (Next).

5. На странице Выбор ролей сервера (Select Server Roles) у с т а н о в и т е ф л а ж о к Службы федерации Active Directory (Active Directory Federation Services) и щелкните Далее (Next).

6. Просмотрите сведения о роли и щ е л к н и т е Д а л е е ( N e x t ) .

7. На странице Выбор служб ролей (Select Role Services) у с т а н о в и т е ф л а -

Добавить необходимые службы ролей (Add Required Role Services), а затем Далее (Next).

8. На странице Выбор сертификата подлинности сервера д л я ш и ф р о в а н и я SSL (Choose A Server Authentication Certificate For S S L E n c r y p t i o n ) выберите параметр Создать самозаверяющий сертификат д л я ш и ф р о в а н и я SSL (Cre - ate A Self-Signed Certificate For SSL E n c r y p t i o n ) и щ е л к н и т е Д а л е е (Next),

ренном центре сертификации, чтобы все ваши системы могли совместно работать в Интернете .

9. На с т р а н и ц е Выбор сертификата для подписи маркера (Choose A TokenSigning Certificate) выберите параметр Создать самозаверяющий сертификат д л я подписи маркера (Create A Self-Signed Token-Signing Certificate) и щ е л к н и т е Д а л е е (Next) .

10. На странице Выбор п о л и т и к и доверия (Select Trust Policy) выберите параметр Создать новую политику доверия (Create A New Trust Policy) и щелк-

12. На с т р а н и ц е Выбор служб ролей (Select Role Services) примите параметры по у м о л ч а н и ю и щ е л к н и т е Далее (Next).

13.На странице Подтвердите выбранные параметры (Confirm Installation Selections) п р о с м о т р и т е выбранные параметры и щелкните кнопку Установить (Install) .

14. П о с л е з а в е р ш е н и я установки щелкните кнопку Закрыть (Close). 15. П о в т о р и т е эту процедуру на машине SERVER03.

На к о м п ь ю т е р е S E R V E R 0 3 эта операция будет выполнена быстрее, по-

ВНИМАНИЕ! Веб-сайт по умолчанию

После установки AD FS на обоих серверах федерации необходимо отконфигурировать в IIS сайт по умолчанию Default Web Site с использованием безопасности TLS/SSL, как описано иа занятии 2.

Вы н а ч а л и с м а ш и н ы S E R V E R 0 7 , поскольку этот компьютер не содержит н и к а к и х р о л е й и отображает все страницы установки в процессе инсталляции роли AD FS на новом сервере. Отметим, что поскольку иа машине SERVER03 уже установлены некоторые роли сервера, процесс инсталляции AD FS на этом сервере в ы п о л н я е т с я быстрее.

Упражнение 3. Установки прокси-серверов службы федерации

Установите прокси - серверы службы федерации. Д л я этого потребуется установить роль сервера и необходимые службы ролей.

1. Запустите м а ш и н ы SERVER01, SERVER03, SERVER04, SERVER06, SER- V E R 0 7 и S E R V E R 0 8 . Войдите на машину SERVER08 как администратор домена.

2.В программной группе Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).

3. На странице Перед началом работы (before You Begin) щ е л к н и т е Далее (Next).

4. На странице Выбор ролей сервера (Select Server Roles) установите ф л а ж о к Службы федерации Activc Directory (Active Directory Federation Services) и щелкните Далее (Next).

5. Просмотрите сведения о роли и щелкните Д а л е е (Next) .

6. На странице Выбор служб ролей (Select Role Services) установите ф л а ж о к Проксн-агент службы федерации (Federation Service P r o x y ) и щ е л к н и т е кнопку Добавить необходимые службы ролей (Add Required Role Services).

В производственной среде сертификаты необходимо запросить в доверенном центре сертификации, чтобы все системы могли совместно работать в Интернете.

9. На странице Задание сервера федерации (Specify Federation Server) введите имя server07.wooelgrovebank.com и щелкните кнопку Проверить (Validate). Проверка должна завершиться неудачно, поскольку между компьютерами пока еще не установлена доверенная связь. Чтобы в ы п о л н и т ь эту задачу, нужно через 11S экспортировать и импортировать с е р т и ф и к а т ы SSL д л я каждого сервера. Эта задача будет выполнена иа замятии 2.

10.Щелкните Далее (Next).

11.На странице Выбор сертификата подлинности клиента (Choose A Client

Authentication Certificate) выберите параметр Создать с а м о з а в е р я ю щ и й сертификат проверки подлинности клиента ( C r e a t e A Self-Signed Client Authentication Certificate) и щелкните Далее (Next) .

12. Просмотрите сведения на странице Веб-сервер ( I I S ) (Web Server ( I I S ) )

ищелкните Далее (Next).

13.На странице Выбор служб ролей (Select Role Services) примите параметры по умолчанию и щелкните Далее (Next).

14.Па странице Подтвердите выбранные параметры (Confirm Installation Selections) просмотрите выбранные параметры и щелкните кнопку Установить (Install).

15.После завершения установки щелкните кнопку З а к р ы т ь (Close).

16. Повторите эту операцию па машине SERVER04 в домене contoso.com. В качестве имени сервера федерации введите server03.contoso.com. Кроме того, используйте самозаверяющий сертификат и не устанавливайте веб-агенты AD FS на машине SERVER04 . Эта машина будет выполнять лишь роль прокси-агента службы федерации, поскольку она расположена в организации учетных записей.

Вы начали развертывание с машины SERVER08, поскольку ие ней не установлены никакие роли и отображаются все страницы мастера инсталляции роли AD FS на новый сервер. На машине SERVER04 уже установлены некоторые роли сервера, так что процесс установки на этом сервере будет выполнен быстрее.

СОВЕТ К ЭКЗАМЕНУ

Внимательно изучите все типы установки, поскольку вопросы о них включены в сертификационный экзамен.

Резюме

•Технология AD FS расширяет внутреннее хранилище проверки подлинности во внешние среды с помощью федерации удостоверений и доверительных связей федерации .

• В партнерской связи федерации всегда участвует организация ресурсов и организация учетных записей. Организация ресурсов может быть партнером нескольких организаций учета, но организация учета — партнером л и ш ь одной организации ресурсов.

•Д л я проверки подлинности сервера и клиента в AD FS используются коммуникации Secure H T T P с сертификатами проверки подлинности SSL. По

этой причине все коммуникации осуществляются через I-ITTPS-порт 443.

•Технология AD FS представляет собой реализацию веб-служб иа основе стандартов, гарантирующих взаимодействие с партнерами, которые работают с различными операционными системами, такими как Windows, U N I X и Linux.

Закрепление материала

Приведенный далее вопрос предназначен для проверки знаний, полученных на занятии 1 (этот вопрос содержится и на сопроводительном компакт-диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Вы работаете системным администратором в компании Contoso, Ltd. Ваша организация уже располагает связью федерации с Woodgrove Bank, которая реализована с помощью служб федерации в Windows Server 2003 R2. Д л я повышения уровня безопасности вы развернули службу федерации

Занятие 2 Настройка служб федерации Active Directory 8 6 7

Завершение настройки AD FS

Д л я того чтобы з а в е р ш и т ь настройку при развертывании AD FS, необходимо в ы п о л н и т ь н е с к о л ь к о операций.

• О т к о н ф и г у р и р о в а т ь веб - службу на каждом сервере, чтобы использовать ш и ф р о в а н и е S S L / T L S для веб-сайта, управляющего службой AD FS.

м Экспортировать сертификаты с каждого сервера и импортировать их на дру-. гие серверы, ф о р м и р у ю щ и е связь. Например, чтобы поддерживать процессы обмена м а р к е р а м и безопасности AD FS, сертификат для подписи маркеров сервера ф е д е р а ц и и необходимо установить как сертификат проверки на других серверах в доверительной связи.

•О т к о н ф и г у р и р о в а т ь IIS на серверах, которые будут управлять приложениями, п о д д е р ж и в а ю щ и м и утверждения. Для коммуникаций таких приложений

эти серверы д о л ж н ы использовать H T T P S .

г у р и р о в а т ь х р а н и л и щ е учетных записей AD DS для федерации удостоверений .

•В организации ресурсов следует отконфигурировать политику доверия,

создать утверждения для пользователей, отконфигурировать хранилище у ч е т н ы х записей AD DS для федерации удостоверений, а затем включить п р и л о ж е н и е с поддержкой утверждений.

•Создать доверие федерации д л я включения федерации удостоверений. Для

и и м п о р т и р о в а т ь ее в организацию ресурсов.

•В ресурсной организации создать и отконфигурировать сопоставление

ут в е р ж д е н и й .

•Экспортировать партнерскую политику из ресурсной организации и им-

п о р т и р о в а т ь ее в организации учетных записей.

М н о г и е из этих операций связаны с сопоставлением сертификатов одного сервера сертификатам другого. Важно отметить возможность доступа к корням и л и хотя бы веб-сайтам, управляющим списками отзыва сертификатов CRL (Certificate Revocation List) для каждого сертификата. Как описано в главе 15, п о д л и н н о с т ь с е р т и ф и к а т а для члена цепочки доверия определяется только с п о м о щ ь ю списков CRL . В случае поддержки списков CRL для выполнения этой задачи т а к ж е задействуется служба сетевого ответчика O C S P (Online Responder) из AD CS.