本实验共包括4个练习:
练习1:安装 PKI
练习2:安装 AD FS
练习3:为内部用户配置 AD FS以访问 内部应用程序
练习4:为Internet用户配置AD FS 以访问合作伙伴的应用程序
网络架构
环境准备:
下载本文的附件ContosoClaimApp.zip,解压到复制为HQDC1服务器的C:\inetpub\wwwroot\ContosoClaimApp文件夹。
下载本文的附件ADatumClaimApp.zip,解压到复制为HQDC2服务器的C:\inetpub\wwwroot\ADatumClaimApp文件夹。
分别在上述2台服务器打开IIS管理器,将上述文件夹转换为应用程序。
练习1:安装 PKI
任务1:在 Contoso 域安装 AD CS
1. 检查Active Directory Web Services服务的状态为“已启动”,并且启动类型为“自动”。
2. 打开“服务器管理器”,添加 AD CS 角色。
任务2:关闭CDP(CRL Distribution Point)和AIA(Authority Information Access)
1. 打开“管理工具”中的“证书颁发机构”,右键单击“ContosoCA”,选择“属性”。
2. 在“ContosoCA 属性”对话窗口,选择“扩展”选项卡。在“选择扩展”列表中选择“CRL分发点(CDP)”。然后在其下方的列表中删除“ldap:///CN…”和“file://<ServerDNSName>…”。
3. 选择“http://”条目,然后勾选“包含在颁发的证书的CDP扩展中”。
4. 在“选择扩展”列表中选择“颁发机构信息访问(AIA)”。然后在其下方的列表中删除“ldap:///CN…”和“file://<ServerDNSName>…”。选择“http://”条目,然后勾选“包含在颁发的证书的AIA扩展中”。
5. 点“确定”按钮,然后点“是”重启服务。
6. 在“命令提示符”下面输入:mmc。在管理控制台窗口“添加/删除管理单元”。
7. 在“添加或删除管理单元”对话窗口,在左侧的“可用的管理单元”列表中选择“证书”,然后点“添加”按钮。
8. 选择“计算机帐户”。
9. 暂停自动注册事件。“以管理员身份运行”的方式打开“命令提示符”,输入:
C:\Users\Administrator>certutil -pulse
CertUtil: -pulse 命令成功完成。
C:\Users\Administrator>
10. 再回到管理控制台,在左侧的树状列表中依次展开“证书”、“个人”、“证书”。可以看到显示出一个新证书。如果没有显示出来,请按F5刷新。
11. 由于这个证书包含了遗留的LDAP CRL URL列表,而且不能在AD FS环境中使用。因此删除这个证书。
任务3:配置 Web 服务器的 证书模板,允许域控制器和域中的计算机有权限访问证书
1. 在管理控制台“添加/删除管理单元”添加“证书模板”。
2. 选择“Web服务器”,点“属性”。在“安全”选项卡,添加4个组或用户名:Domain Computers、Domain Controllers、Network Service、IIS_IUSRS。并且为它们的权限设置为允许“读取”和“注册”。
3. “以管理员身份运行”方式打开“命令提示符”,重启证书服务。
C:\Users\Administrator>net stop "Active Directory Certificate Services"
Active Directory Certificate Services 服务正在停止.
Active Directory Certificate Services 服务已成功停止。
C:\Users\Administrator>net start "Active Directory Certificate Services"
Active Directory Certificate Services 服务正在启动 .
Active Directory Certificate Services 服务已经启动成功。
C:\Users\Administrator>
任务4:在IIS中创建一个域证书
1. 在“管理工具”中打开“Internet信息服务(IIS)管理器”。双击“服务器证书”。
2. 选择“创建域证书”。
3. 输入“通用名称”等信息。
4. 点“选择”按钮,选择证书颁发机构。
注:必须输入一个“好记名称”。
5. 验证域证书。
任务5:绑定证书到需要SSL的程序
1. 选择“Default Web Site”,单击“绑定”。
2. 点击“添加”按钮,添加https所需的域证书。
注:在上图中,务必点击“查看”,确认该证书有“友好名称”。
任务6:将Contoso 根证书导出到Adatum域
1. 在管理控制台,选择域证书,在右键菜单中选择“所有任务”、“导出”。
2. 按照“证书导出向导”的提示,导出证书。
任务7:在Adatum域导出证书。
转到HQDC2服务器,按照前面的所有操作步骤。最后在Adatum域创建一个名为“AdatumCA”的根证书,并导出为AdatumCA.cer文件。将这个文件复制到HQDC1服务器的C:\LabFiles文件夹。
任务8:将Adatum域证书导入到受信任的根证书颁发机构。
1. 转到HQDC1服务器。打开“管理工具”中的“组策略管理”,编辑默认的域策略。依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“公钥策略”。在“受信任的根证书颁发机构”中“导入”。
2. 选择AdatumCA证书文件。
3. 确认证书存储在“受信任的根证书颁发机构”位置。
4. 确认导入成功。
5. 编辑完成后,退出“组策略管理”。
6. 强制刷新组策略。在命令提示符下面运行: gpupdate /force
任务9:将Contoso根证书导入到Adatum域
参照前面的操作,把ContosoCA.cer文件复制到HQDC2。在HQDC2服务器编辑默认的组策略,将ContosoCA.cer导入到Adatum域的“受信任的根证书颁发机构”位置。然后强制刷新组策略。
(附加)练习 安装 AD FS 1.0
本实验需要使用AD FS 2.0,所以下述操作仅供参考,不要在本实验内操作。
安装完成之后,可以从“管理工具”的“Active Directory 联合身份验证服务”打开管理控制台。
练习2:安装 AD FS 2.0
任务1:在Contoso域安装AD FS 2.0
1. 下载安装程序 http://down.51cto.com/data/802169
2. 右键单击此解后的文件,“以管理员身份运行”。
3. 根据安装向导的提示,完成安装。
任务2:创建一个独立联合服务器
1. 在上一步的安装过程中,如果选择了“此向导关闭时自动启动AD FS 2.0管理单元”,则自动弹出管理界面。否则,在“管理工具”中单击“AD FS 2.0管理”。在管理控制台界面,单击“AD FS 2.0联合服务器配置向导”。
2. 创建一个新的联合身份验证服务。
3. 选择“独立联合服务器”。
4. 查看证书是否正确。
5. 完成安装。
注意:为了确保后续的正常操作,建议检查“服务”的列表中的“Active Directory Web Service”和“AD FS 2.0 Windows Service”的启动类型为“自动”,并且这2个服务的状态为“已启动”。
任务3:验证PowerShell
打开“管理工具”中的“Windows PowerShell Modules”。
运行:Get-ADFSProperties,查看AD FS模块是否已经加载。
运行:Get-Command *-ADFS* ,查看AD FS模块相关的命令。
任务4:验证federationmetadata.xml文件
打开IE,在地址栏输入 https://hqdc1.contoso.com/federationmetadata/2007-06/federationmetadata.xml
任务5:添加一个新的声明说明
1. 添加一个声明说明。本例只是介绍添加声明说明的方法,仅供参考。
2. 验证。
练习3:为内部用户配置 AD FS以访问内部应用程序
任务1:配置一个令牌签名证书
说明:当ADFS的自动注册功能被启用时,证书不能在ADFS中修改。这个功能会决定ADFS是否管理证书失效以及替换为新证书。因此,在ADFS中修改证书之前,要先关闭这个功能。
1. 打开“管理工具”中的“Windows PowerShell Modules”。
运行:Set-ADFSProperties -AutoCertificateRollover $false
再运行:Get-ADFSProperties ,检查AutoCertificateRollover是否为False。
2. 打开“管理工具”中的“AD FS 2.0管理”。
选择具有“友好名称”的证书。
3. 设置为主证书。
4. 删除被替换的令牌签名证书。
任务2:配置一个声明
1. 展开“信任关系”、“声明提供方信任”,“编辑声明规则”。
2. 添加规则。
任务3:配置声明应用程序
1. 安装WIF(Windows Identity Foundation,即Windows身份验证基础)。
下载地址 http://down.51cto.com/data/802274
2. 检查C:\inetpub\wwwroot\ContosoClaimApp文件夹。
3. 打开“管理工具”中的“Windows Identity Foundation Federation Utility”。在“欢迎使用Federation Utility向导”窗口,定位WIF示例应用程序。
4. 完成安装
注:在配置过程中,可能出现“STS签名证书链验证错误”页面。选择“禁用证书验证”。这样可以简化本实验的测试过程。
任务4:配置一个信赖方信任
打开“AD FS 2.0管理”。
任务5:配置规则
1. 在上一安装过程中,选择了“向导关闭时打开此信赖方信任的编辑声明规则对话框”,则自动弹出对话框。否则,在上一任务新建的信赖方信任点右键,选择“编辑声明规则”。
2. 添加规则。
3. 参照前一步骤,再添加2个规则。
任务6:测试
转到CL1.contoso.com客户端计算机,使用contoso\ZhangS帐户登入。打开IE浏览器,输入网址 https://hqdc1.contoso.com/ContosoClaimApp/ 。如果出现输入凭据的对话窗口,则表明测试成功。
任务7:配置声明规则以只允许组内用户
1. 展开“信任关系”、“声明提供方信任”。“编辑声明规则”。
2. 展开“信任关系”、“信赖方信任”。“编辑声明规则”。打开“颁发授权规则”选项卡,删除默认的规则。然后“添加规则”。
任务8:验证
转到CL1.contoso.com客户端计算机,以contoso\ZhangS帐户登入(此帐户属于ITADMIN组)。打开网址,验证。
然后再以contoso\LiS帐户登入,此帐户不属于ITADMIN组。打开网址,验证。
练习4:为Internet用户配置AD FS 以访问合作伙伴的应用程序
任务1:为ADatum域添加声明提供方信任
1. 参照前面的操作,为HQDC2.ADatum.com服务器安装AD FS 2.0。
2. 在DNS中添加一个条件转发规则。
3. 打开“AD FS 2.0管理”,使用“AD FS 联合服务器配置向导”配置一台独立联合服务器。
注:如果没有添加DNS条件转发器,可能会出现以下错误。
4. 继续下一步
5. 编辑规则
6. 打开“管理工具”的“Windows PowerShell Modules”,运行以下命令。
PS C:\Users\Administrator> Set-ADFSClaimsProviderTrust -TargetName "hqdc1.contoso.com" -SigningCertificateRevocationCheck None
PS C:\Users\Administrator>
任务2:配置一个信赖方信任
1. 转到HQDC1.contoso.com服务器。配置一个DNS转发器。
2. 打开“AD FS 2.0管理”,添加一个信赖方信任。
3. 添加一个颁发转换规则。
4. 检查C:\inetpub\wwwroot\ADatumClaimApp 。
任务3:验证
1. 转到CL1.contoso.com客户端计算机,以contoso\ZhangS帐户登入。
2. 打开IE浏览器,输入网址 https://hqdc2.adatum.com/ADatumClaimApp 。在出现组织列表时选择contoso.com域。
3. 关闭IE浏览器后再次打开,输入网址https://hqdc2.adatum.com/ADatumClaimApp 。由于这不是第一次登录,因此没有根领域。默认情况下,根领域授权的用户会在信赖方联合服务器上保存_LSRealm cookie,有效期为30天。
4. 删除cookie。打开IE浏览器的“工具”、“Internet选项”。
5. 关闭IE浏览器后再次打开,输入网址https://hqdc2.adatum.com/ADatumClaimApp 。这次会出现凭据输入窗口。
256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
