Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 82 (всего у книги 91 страниц)
Занятие 1
Концепция служб федерации Active Directory 8 4 5
К С В Е Д Е Н И Ю AD FS
Б о л е е подробная информация о технологии AD FS содержится по адресу hup://technct2.
niicrnsnfl..coni/mi!ulowssr'Ji)er200S/cn/sriniernia)Higer/nctivKdir(u:t.onjfedernl.innscnncs.
тнрх.
И з у ч и в материал этого занятия, вы сможете:
J П о н и м а т ь п р и н ц и п процесса проверки подлинности AD FS.
^ П о н и м а т ь п р и н ц и п ы работы компонентов, составляющих реализацию AD FS.
s Установить AD FS.
П р о д о л ж и т е л ь н о с т ь занятия – около 40 мин.
Процесс проверки подлинности AD FS
П о с л е р е а л и з а ц и и п а р т н е р с т в а A D F S п о л ь з о в а т е л и могут входить в о внешние
п е б – п р и л о ж е п и я , в к л ю ч е н н ы е в э т о п а р т н е р с т в о . В т и п и ч н о м сценарии AD FS
п р и в х о д е п о л ь з о в а т е л я в п р и л о ж е н и е с п о д д е р ж к о й у т в е р ж д е н и й в экстрассти
с л у ж б ы A D F S а в т о м а т и ч е с к и п р е д о с т а в л я ю т у ч е т н ы е д а н н ы е пользователя
и с о с т а в л я ю т у т в е р ж д е н и я , в к л ю ч а е м ы е в а т р и б у т ы у ч е т н ы х записей пользо-
в а т е л е й A D D S ( р и с . 1 7 – 4 ) .
Маркер безопасности
Jg, Атрибуты AD OS
Фильтруемое идентификационное утверждение
Фильтруемое утверждение на группу
Фильтруемые настраиваемые утверждения
Маркер безопасности
Атрибуты AD DS
' Идентификационное утверждение
• Утверждение на группу
• Настраиваемое утверждение
Рис. 17-4. Использование AD FS для предоставления доступа к веб-приложениям в эстрасети
посредством сквозной проверки подлинности SSO с федерацией в Веб
45 Службы федерации Active Directory Глава 17
г 1. Пользователь, локализованный во внутренней сети или Интернете, кото-
рый хочет получить доступ к веб-прнложеншо с поддержкой утверждений
в экстрасети, принадлежит к одной из организаций учета, участвующих
в партнерстве AD FS.
2. Агент с поддержкой утверждений на веб-сервере обращается к серверу
федерации ресурсов RFS (Resource Federation Server), локализованному в
организации ресурсов, чтобы проверить предоставление доступа пользова-
телю. Поскольку запрос должен пройти через брандмауэр, агенту необходи-
мо обратиться к прокси-агенту службы федерации FSP (Federation Service
Proxy), который затем связывается с внутренним сервером федерации.
3. Поскольку сервер федерации не содержит учетную запись для этого поль-
зователя, но располагает связью федерации с хранилищем каталогов в ор-
ганизации учета (так называемое доверие федерации), для идентификации
прав доступа этого пользователя сервер федерации в организации ресурсов
обращается через прокси к серверу федерации учетных записей AFS (Ac-
count Federation Server) во внутренней сети организации учета. Эти права
доступа перечислены в форме утверждений, представляющих собой атри-
буты, которые привязаны к объекту учетной записи пользователя в AD DS.
4. Сервер федерации в организации учетных записей напрямую связан с внут-
ренней структурой AD DS организации и получает права доступа из ката-
лога с помощью запроса LDAP. Отметим, что учетная запись этого поль-
зователя также может располагаться в хранилище AD LDS.
5. Сервер федерации в организации учета конструирует маркер безопасности
AD FS пользователя. Этот маркер содержит идентификатор пользователя,
список утверждений, включенных в учетную запись AD DS пользователя,
а также цифровой сертификат сервера федерации учетных записей (AFS).
6. Сервер федерации учетных записей отсылает в ответ серверу федерации
ресурсов права доступа клиента, содержащиеся в подписанном маркере
безопасности (через прокси-сервер). Этот маркер представляет собой ис-
ходящее утверждение.
7. Сервер федерации ресурсов выполняет расшифровку маркера и из входяще-
го утверждения извлекает утверждения для пользователя. Затем прикреп-
ляет эти утверждения к утверждениям организации, которую поддерживает,
и применяет политику фильтрации для специфики запросов веб-приложения.
8. Фильтруемые утверждения вновь пакуются в подписанный маркер бе-
зопасности, который передается на веб-сервер в экстрасети организации
ресурсов путем пересылки по URL-адресу, включенному в исходный за-
прос веб-приложения. В этом случае для подписи маркера используется
цифровой сертификат сервера федерации ресурсов или сеансовый ключ
Kerberos, поскольку системы расположены в одной сети.
9. Веб-сервер производит расшифровку маркера безопасности пользователя
с помощью своего агента с поддержкой утверждений, выполняет просмотр
утверждений пользователя, а затем на основе утверждений в маркере пре-
доставляет доступ к приложению.
Занятие 1
Концепция служб федерации Active Directory 8 4 7
10. Для поддержки сквозной проверки подлинности SSO (Single Sign-On) веб-
агент AD FS на веб-сервере обращается к браузеру пользователя с целыо
создания локальных данных cookies проверки подлинности пользователя.
Таким образом, этот просмотр не потребуется выполнять вновь для про-
верки подлинности пользователя в течение данного сеанса.
Как видите, процесс довольно простой. Тем не менее реализацию AD FS
следует осуществлять с максимальной осторожностью. Для того чтобы предо-
ставить доступ пользователям к приложениям в экстрасети, каждый партнер
может использовать свои внутренние хранилища каталогов. Управление досту-
пом упрощается, однако каждый партнер должен реализовать доверительные
связи федерации – установить в своих сетях хотя бы по одному серверу фе-
дерации AD FS. Направление доверия всегда исходит от партнера по ресурсам
к партнеру по учетным записям.
Отметим, что когда пользователь работает за публичным или домашним
компьютером, не входящим в домен AD DS организации учетных записей, он
может выбрать организацию учетных записей с помощью веб-страницы AD FS,
содержащей окна входа, которые поддерживают формы на основе интегриро-
ванной проверки подлинности Windows. Таким образом, внешние пользователи
получают доступ к приложениям в экстрасети даже в том случае, если они не
применяют корпоративные компьютеры.
Если вы не хотите создавать веб-страницу со списком организаций учет-
ных записей только потому, что их названия нежелательно публиковать из
соображений безопасности, то организацию учетных записей рекомендуется
непосредственно включить в строку запроса для получения доступа к ресурсу:
Формат веб-запроса будет таким:
ЬХХр5://веб-сервер/имя_приложения/страница_приложения. aspx?whr=urn:federation:
партнер_по_учету
В этом запросе параметр whr применяется для идентификации организации
учетных записей в партнерстве федерации.
Проектирование AD FS
В зависимости от типа партнерства В2В, которое необходимо установить,
технология AD FS поддерживает три типа конфигурации или архитектуры.
Каждому типу присущи свои особенности и каждый поддерживает отдельный
сценарий партнерства.
• Единый вход федерации для Интернет-решений (Federated Web SSO)
Используются несколько брандмауэров, поскольку модель связывает при-
ложения в экстрасети организации ресурсов с внутренними хранилищами
каталогов организаций учетных записей. Применяется лишь доверие фе-
дерации – всегда одностороннее и исходящее от организации ресурсов
к организациям учета. Такой сценарий развертывания AD FS применяется
чаще всего (см. рис. 17-4).
• Единый вход федерации для Интернет-решений с доверием лесов (Fede-
rated Web SSO with Forest Trust) Организация использует два леса AD
DS – внутренний и внешний, локализованный в сети по периметру, между
Службы федерации Active Directory
Глава 17
которыми устанавливается доверительная связь. Кроме того, м е ж д у серве-
ром федерации ресурсов, локализованным в сети по периметру, и сервером
федерации учетных записей, локализованным во внутренне» сети, уста-
навливается доверие федерации. В данном сценарии внешние пользовате-
ли располагают учетными записями в лесу периметра, а внутренние – во
внутреннем лесу Системы AD FS осуществляют ф е д е р а ц и ю нрав доступа
учетных записей из обоих лесов приложению в сети по периметру. По этой
причине внутренние пользователи получают доступ к п р и л о ж е н и я м из
внутренней сети и Интернета, а внешние – только из Интернета (рис. 17-5).
Клиент
contoso.com
Рис. 17-5. Использование доверительной связи лесов и доверия федерации
дл* предоставления доступа к приложениям в экстрасети
ВНИМАНИЕ! Использование каталогов AD DS в сети периметра
Такой сценарий следует реализовывать очень осторожно. Ф у н к ц и я каждой из че-
тырех дополнительных технологий Active Directory ( A D LDS, AD CS, AD R M S и
A D F S ) состоит в расширении полномочий внутренних развертываний AD DS без
АП п о " ' " 0 0 ™ В у п 1 > а и л е , , и и внешними лесами AD DS. Управление внешним лесом
" р с д с т а в л я с т с°бой определенную степень риска, чего по возможности сле-
дует избегать. Кроме того, чтобы создать доверительную связь между внутренним и
внешним лесами, необходимо открыть порты брандмауэра, которые обычно должны
ыть закрыты. Поэтому для выполнения тех же функций рекомендуется применять
технологии AD LDS и AD FS.
Занятие 1
Концепция служб федерации Active Directory 8 4 9
• Единый вход для Интернет-решений (Web SSO) Если все пользователи
приложения в экстрасетн являются внешними и не располагают учетными
записями в домене AD DS, необходимо развернуть лишь сквозную проверку
подлинности SSO в Веб. Эта модель позволяет пользователям множества
веб-приложений только один раз проходить проверку подлинности. Однако
в данной модели используются групповые веб-серверы, то есть серверы
как минимум с двумя сетевыми интерфейсными картами NIC (Network
Interface Card), одна из которых подключена к внешней сети, а вторая –
к внутренней. Эти веб-серверы являются частью внутреннего домена AD
DS и подключены к нему через внутренние сетевые карты NIC. Клиенты
получают доступ к приложениям через внешнюю карту NIC. Прокси-агеит
службы федерации также является групповым и предоставляет доступ
к внешней и внутренней сетям (рис. 17-6).
Защищенная сеть
Сеть периметра
Рис. 17-6. Сценарий федерации SSO в Веб
Самыми распространенными сценариями являются первый и последний,
однако в идеале для упрощения стратегии развертывания все члены развер-
тывания служб федерации удостоверений должны располагать собственными
каталогами AD DS и выполнять роль организаций учётных записей.
СОВЕТ К ЭКЗАМЕНУ
Уделите внимание псем трем сценариям развертывания, хотя сценарий федерации
SSO в Веб с доверием лесов не рекомендуется использовать. На сертификационном
экзамене будут нопросы по всем трем сценариям развертывания AD 1-S.
I 8 5 0 Службы федерации Active Directory
Глава 17
Компоненты AD FS
Помимо различных служб ролей п технологии AD FS применяются еще не-
сколько компонентой:
• утверждения;
• данные cookies;
• сертификаты.
Каждый из этих компонентов обеспечивает дополнительную поддержку
процесса AD FS. Кроме того, в AD FS используется особая терминология,
Чтобы лучше понять принципы работы компонентов AD FS, нужно изучить
и запомнить эту терминологию.
Утверждения AD FS
В базовой форме утверждения являются инструкциями относительно пользо-
вателей, которые составляются каждым партнером в связи AD FS. В утверж-
дения обычно включают имена пользователей, ключи сертификатов, членство
в группах, особые привилегии и т. д. Утверждения, которые являются основой
авторизации AD FS для веб-приложений, получают тремя способами.
• Сервер федерации учетных записей запрашивает утверждения но внутрен-
нем хранилище каталога и предоставляет их партнеру по ресурсам,
• Организация учета предоставляет утверждения для сервера федерации
ресурсов, который передает их после фильтрации приложению ресурсов.
• Служба федерации запрашивает утверждения и хранилище каталогов (AD
DS или AD LDS) и предоставляет их после фильтрации приложению ре-
сурсов.
Технология AD FS поддерживает три типа утверждений.
• Идентификационное утверждение Под эту категорию подпадают все
утверждения на основе идентификации пользователя. Для генерирования
маркеров безопасности из списка утверждений в каждом утверждении дол-
жен присутствовать хотя бы один тип идентификационного утверждения,
о Такое утверждение может содержать основное имя пользователя U P N
(User Principal Name), представляющее удостоверение пользователя
в формате адреса электронной почты ( имя_гшьзоватвля®домвп_учета).
Несмотря на то что для учетной записи пользователя могут применяться
несколько UPN-имен, лишь одно из них будет использоваться в иден-
тификационном утверждении. Если создать несколько таких идентифи-
кационных утверждений с разными UPN-именами, будет задействовано
UPN-имя с самым высоким приоритетом,
о Утверждение может содержать адрес электронной почты пользователя
(шия_польэоаателя@почтоаый_домен). Как и п случае с UPN-именами,
для идентификационного утверждения электронной почты использует-
ся только одни электронный адрес, а все остальные адреса, как правило,
перечисляются в настраиваемых утверждениях. Адреса, включаемые
Занятие 1
Концепция служб федерации Active Directory 851
в другие типы идентификационных утверждений, получают приоритет
второго уровня,
• В таких утверждениях также применяются общие имена, представля-
ющие собой случайные строки символов. Отметим, что уникальность
общего имени гарантировать нельзя, поэтому нужно осторожно ис-
пользовать такой тип утверждений. Общие имена, включаемые в дру-
гие типы идентификационных утверждений, получают самый низкий
приоритет.
• Утверждение о группе В утверждении также применяется членство в груп-
пах, к которым принадлежит пользователь. Поскольку пользователь может
принадлежать к нескольким группам, в утверждение рекомендуется вклю-
чить несколько типов утверждений о группах.
• Настраиваемое утверждение Если для пользователя необходимо предо-
ставить настраиваемые данные (например, такой настраиваемый иденти-
фикационный номер, как номер счета в банке или номер служащего), эту
информацию можно поместить в настраиваемое утверждение.
В процессе обработки утверждения фильтруются сервером федерации – та-
ким образом уменьшается общее число утверждений, необходимых для работы
организации. В случае недоступности фильтрации организации пришлось бы
отвечать за сопоставление каждого утверждения для каждого партнера и управ-
лять очень большим количеством утверждений.
К СВЕДЕНИЮ Утверждения AD FS и сопоставление утверждений
Более подробную информацию об утверждениях AD FS и сопоставлении утверж-
дений можно найти по адресу http://technet2.microsofC.com/winrlowsseiver200S/en/
Hbrary/4fd78221-3d2e-4236-a971-18cdb8513d6b1033.mspx?mfr-tme.
Файлы cookie AD FS
Помимо утверждений AD FS также работает с файлами cookie, которые запи-
сываются в браузеры пользователей во время веб-сеансов, прошедших проверку
подлинности с помощью AD FS. В AD FS используется три типа файлов cookie.
• Файлы cookie для проверки подлинности Поскольку первому экземпляру
проверки подлинности AD FS может потребоваться несколько транзакций,
AD FS генерирует файл cookie для проверки подлинности, который поме-
щается в браузер пользователя с целыо поддержки SSO в дополнительных
проверках подлинности. Этот файл cookie содержит все утверждения для
пользователя. Файлы cookie для проверки подлинности создаются веб-аген-
том AD FS и самой службой федерации. При использовании пеб-агента нет
необходимости в размещении пары открытого и частного ключей на сервере.
Создавая файл cookie для проверки подлинности, веб-агент задействует
существующий маркер безопасности, созданный сервером федерации. Од-
нако сервер федерации должен располагать парами ключей для подписания
маркеров безопасности.
Службы федерации Acilve Directory
Глава 17
Такой файл cookie подписан, но не зашнфронан. Это одна из причин, по
которым все коммуникации в данном процессе шифруются с помощью TLS
или SSL Кроме того, поскольку такой файл cookie является сеансовым,
после закрытия сеанса он удаляется.
• Файлы cookie партнера по учетным записям В процессе проверки под-
линности клиент должен оповестить о своем членстве партнера по учет-
ным записям. Если это оповещение содержит допустимый маркер, процесс
AD FS записывает файл cookie на стороне клиента, чтобы клиент использо-
вал этот файл cookie вместо повторного обнаружения партнера в следующей
проверке подлинности.
• Файлы cookie выхода из системы Всякий раз, когда служба федера-
ции создает маркер, к файлу cookie для выхода добавляются сведения из
маркера о партнере но ресурсам или о конечном сервере. При получении
запроса на завершение сеанса служба федерации или прокси-агент службы
федерации отправляют каждому из конечных серверов маркера запросы с
требованием очистки всех материалов проверки подлинности, таких как
кэшированные файлы cookie, которые партнер по ресурсам или веб-сервер
с поддержкой AD FS могли записать на клиенте. В случае партнера по
ресурсам запрос очистки отправляется всем иеб-сернерам с поддержкой
AD FS, которые использовал клиент.
Файл cookie для выхода всегда является файлом cookie сеанса. Он не под-
писывается, не шифруется и удаляется в процессе выполнения операций
очистки.
К СВЕДЕНИЮ Файлы cookie AD FS
Более подробную информацию о файлах cookie AD FS м о ж н о найти по адресу
top://uchnet2.micwwft.com/wmdowssewer2008/an/library/0357bdbc-2l9d-<1ec1-a6d0-
1a3376bc Ш1033.mspx?mfr-true.
Сертификаты AD FS
Для гарантии безопасности коммуникаций в реализации AD FS предусмотрено
несколько типов сертификатов. Чтобы получить сертификаты, AD FS обычно
использует развертывание AD DS. Каждая роль сервера в развертывании AD
применяет сертификаты. Тип сертификата, требуемый для роли, зависит
от ее назначения.
• Серверы федерации Для выполнения любых операций AD FS и предо-
ставления полной функциональности на сервере федерации необходимо
установить сертификат проверки подлинности сервера и сертификат под-
писания маркеров, Кроме того, политика доверия, формирующая базовый
принцип связи федерации, должна использовать контрольный сертификат,
предоставляющий лишь открытый ключ сертификата подписания маркеров,
о Сертификат проверки подлинности сервера представляет собой сер-
тификат проверки подлинности SSL, обеспечивающий безопасность
веб-трафика между сервером федерации и прокси-агеитом службы фе-
Занятие 1
Концепция служб федерации Active Directory 853
д е р а ц и и и л и веб-клиентами. С е р т и ф и к а т ы SSL обычно запрашиваются
и у с т а н а в л и в а ю т с я с п о м о щ ь ю диспетчера IIS (IIS Manager).
• В с я к и й раз, когда сервер федерации генерирует маркер безопасности, он
д о л ж е н п о д п и с а т ь маркер с п о м о щ ь ю своего сертификата подписания
маркеров. П о д п и с а н и е маркеров гарантирует, что маркер не будет взло-
ман во время передачи. С е р т и ф и к а т подписания маркеров составляется
из п а р ы о т к р ы т о г о и частного ключей.
• Если в р а з в е р т ы в а н и и участвуют несколько серверов федерации, между
с е р в е р а м и д о л ж е н о с у щ е с т в л я т ь с я контрольный процесс. Д л я этого
к а ж д ы й сервер д о л ж е н располагать контрольными сертификатами всех
о с т а л ь н ы х серверов. К а к мы уже говорили ранее, контрольный серти-
ф и к а т с о с т о и т из о т к р ы т о г о ключа сертификата подписания маркеров
с е р в е р а ф е д е р а ц и и . Это означает, что сертификат устанавливается на
к о н е ч н о м сервере без соответствующего частного ключа.
• П р о к с и – а г е н т ы с л у ж б ы ф е д е р а ц и и Д о л ж н ы располагать сертификатом
п р о в е р к и п о д л и н н о с т и сервера д л я поддержки коммуникаций с шифрова-
н и е м S S L с в е б – к л и е н т а м и .
О н и т а к ж е д о л ж н ы располагать сертификатом проверки подлинности кли-
е н т а д л я а у т е н т и ф и к а ц и и сервера федерации в процессах коммуникаций.
Им м о ж е т б ы т ь л ю б о й с е р т и ф и к а т проверки подлинности клиента с рас-
ш и р е н н ы м и с п о л ь з о в а н и е м ключа EKU (Extended Key Usage). Закрытый
и о т к р ы т ы й к л ю ч и этого сертификата хранятся на прокси. Открытый ключ
т а к ж е х р а н и т с я на серверах федерации и в политике доверия. В консоли AD
FS т а к и е с е р т и ф и к а т ы т а к ж е называются сертификатами проксп-агентов
с л у ж б ы ф е д е р а ц и и .
• В е б – а г е н т ы AD FS Д л я того чтобы обеспечить безопасность коммуника-
ц и й с в е б – к л и е н т а м и , л ю б о й веб-сервер AD FS, управляющий веб-агентом
AD FS, т а к ж е д о л ж е н располагать сертификатом проверки подлинности
сервера.
Д л я того чтобы получить эти сертификаты и управлять ими, службы AD FS
о б ы ч н о з а д е й с т в у ю т AD CS. О д н а к о многие роли AD FS предназначены для
в н е ш н е г о доступа, и поэтому с е р т и ф и к а т ы следует получить из доверенного
центра с е р т и ф и к а ц и и , и н а ч е придется модифицировать хранилище доверен-
ного центра с е р т и ф и к а ц и и на каждом веб-клиенте.
К СВЕДЕНИЮ Сертификаты AD FS
Более подробную информацию о сертификатах AD FS можно найти по адресу
hUp://technet2.microsoft.com/winilowsserver2008/en/libraiy/505507c2-db4a-45(In-ad1b-
082d5484b0c91033.mspx?mfr-true.
СОВЕТ К ЭКЗАМЕНУ
Уделите внимание обмену сертификатами AD FS. Поскольку коммуникации AD FS
всегда должны шифроваться, они являются важной темой экзамена.
г 877 Службы федерации Active Directory
Глава 17
3. Разверните узел P c w i n D N S – c e p B e p D N S S E R V E R 0 1 .
4. На панели дерева щелкните правой к н о п к о й м ы ш и S E R V E R 0 1 и в ы п о л н и т е
команду Свойства (Properties).
5. Перейдите на вкладку Пересылка ( F o r w a r d e r s ) и щ е л к н и т е к н о п к у И з м е -
нить (Edit).
6. Введите IP-адрес машины S E R V E R 0 6 и д в а ж д ы щ е л к н и т е О К .
7. Повторите эту процедуру на м а ш и н е S E R V E R 0 6 и добавьте I P – а д р е с ма-
шины SERVER01 в качестве п е р е с ы л к и д л я м а ш и н ы S E R V E R 0 6 .
8. Протестируйте результаты операции путем п е р е д а ч и п а к е т о в p i n g с одного
сервера на другой. Например, д л я передачи п а к е т о в p i n g с м а ш и н ы S E R -
VER01 на компьютер S E R V E R 0 6 и с п о л ь з у й т е с л е д у ю щ у ю к о м а н д у :
ping server01.contoso.com
Вы должны получить ответ с у к а з а н и е м I P – а д р е с а м а ш и н ы S E R V E R 0 1 .
Упражнение 2. Установка серверов ф е д е р а ц и и
Теперь установите серверы федерации. Д л я этого п о т р е б у е т с я у с т а н о в и т ь роль
сервера и необходимые службы поддержки.
1. Запустите машины SERVER01, S E R V E R 0 3 , S E R V E R 0 6 и S E R V E R 0 7 . Вой-
дите на машину S E R V E R 0 7 ка к а д м и н и с т р а т о р д о м е н а .
Для установки AD FS и работы с н и м и п р и в и л е г и и у р о в н я а д м и н и с т р а т о -
ра домена не нужны, просто в у п р а ж н е н и и эт и п р и в и л е г и и и с п о л ь з у ю т с я
для наглядности. Д л я работы с AD FS т р е б у ю т с я л и ш ь п р а в а л о к а л ь н о г о
администратора.
2. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) запустите
Диспетчер сервера (Server Manager).
3. На панели дерева щелкните правой к н о п к о й м ы ш и у з е л Р о л и ( R o l e s ) и вы-
полните команду Добавить роли (Add Roles).
4. На странице Перед началом работы (Before You Begin) щ е л к н и т е Д а л е е (Next).
5. На странице Выбор ролей сервера (Select Server Roles) у с т а н о в и т е ф л а ж о к
Службы федерации Active Directory (Active D i r e c t o r y F e d e r a t i o n Services)
и щелкните Далее (Next).
6. Просмотрите сведения о роли и щ е л к н и т е Д а л е е ( N e x t ) .
7. На странице Выбор служб ролей (Select Role S e r v i c e s ) . у с т а н о в и т е ф л а -
жок Служба федерации (Federation Service). Д и с п е т ч е р с е р в е р а потребует
добавить необходимые с л у ж б ы р о л е й и к о м п о н е н т ы . Щ е л к н и т е к н о п к у
Добавить необходимые службы ролей ( A d d Required Role Services), а затем
Далее (Next).
8. На странице Выбор сертификата подлинности сервера д л я ш и ф р о в а н и я SSL
(Choose A Server Authentication Certificate For S S L E n c r y p t i o n ) в ы б е р и т е
параметр Создать самозаверяющий с е р т и ф и к а т д л я ш и ф р о в а н и я SSL (Cre-
ate A Self-Signed Certificate For SSL E n c r y p t i o n ) и щ е л к н и т е Д а л е е (Next).
Занятие 1
Концепция служб федерации Active Directory 878
В п р о и з в о д с т в е н н о й среде с е р т и ф и к а т ы необходимо запросить в дове-
р е н н о м ц е н т р е с е р т и ф и к а ц и и , ч т о б ы все в а ш и системы могли совместно
работать в И н т е р н е т е .
9. На с т р а н и ц е В ы б о р с е р т и ф и к а т а д л я подписи маркера (Choose A Token-
Signing C e r t i f i c a t e ) в ы б е р и т е параметр Создать самозаверяющий сертифи-
кат д л я п о д п и с и м а р к е р а ( C r e a t e A Self-Signed Token-Signing Certificate)
и щ е л к н и т е Д а л е е ( N e x t ) .
10. На с т р а н и ц е В ы б о р п о л и т и к и доверия (Select Trust Policy) выберите пара-
метр С о з д а т ь н о в у ю п о л и т и к у доверия (Create A New Trust Policy) и щелк-
ните Д а л е е ( N e x t ) .
З а п о м н и т е п у т ь с о х р а н е н и я э т о й п о л и т и к и доверия, поскольку данная
п о л и т и к а п о т р е б у е т с я д л я работы связи федерации.
11. П р о с м о т р и т е с в е д е н и я на с т р а н и ц е веб-сервер ( I I S ) (Web Server ( I I S ) )
и щ е л к н и т е Д а л е е ( N e x t ) .
12. На с т р а н и ц е В ы б о р с л у ж б ролей (Select Role Services) примите параметры
по у м о л ч а н и ю и щ е л к н и т е Д а л е е (Next).
13. На с т р а н и ц е П о д т в е р д и т е выбранные параметры (Confirm Installation Selec-
t i o n s ) п р о с м о т р и т е в ы б р а н н ы е параметры и щелкните кнопку Установить
( I n s t a l l ) .
14. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е кнопку Закрыть (Close).
15. П о в т о р и т е эту п р о ц е д у р у на м а ш и н е SERVER03.
На к о м п ь ю т е р е S E R V E R 0 3 эта о п е р а ц и я будет выполнена быстрее, по-
с к о л ь к у S E R V E R 0 3 я в л я е т с я к о р н е в ы м центром сертификации. Тем не
менее у к а ж и т е те же параметры, что д л я SERVER07, и по возможности
и с п о л ь з у й т е с а м о з а в е р я ю щ и е сертификаты.
ВНИМАНИЕ! Веб-сайт по умолчанию
После установки AD FS на обоих серверах федерации необходимо отконфигури-
ровать в IIS сайт по умолчанию Default Web Site с использованием безопасности
TLS/SSL, как описано на занятии 2.
Вы н а ч а л и с м а ш и н ы S E R V E R07, поскольку этот компьютер не содержит
н и к а к и х р о л е й и о т о б р а ж а е т все страницы установки в процессе инсталляции
р о л и AD FS на н о в о м сервере. Отметим, что поскольку на машине SERVER03
у ж е у с т а н о в л е н ы н е к о т о р ы е роли сервера, процесс инсталляции AD FS на этом
сервере в ы п о л н я е т с я быстрее.
У п р а ж н е н и е 3 . У с т а н о в к и п р о к с и – с е р в е р о в службы федерации
Установите п р о к с и – с е р в е р ы службы федерации. Д л я этого потребуется уста-
н о в и т ь р о л ь сервера и н е о б х о д и м ы е службы ролей.
1. З а п у с т и т е м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 , SERVER04, SERVER06, SER-
V E R 0 7 и S E R V E R 0 8 . Войдите на машину S E R V E R 0 8 как администратор
домена.
8 5 6 Службы федерации Active Directory
Глава 17
г Табл. 17-1 ( продпжвнив)
Тормин
Описание
Сертификат
В AD FS между кернером федерации и прокси использует-
проверки подлин-
см двухсторонняя проверка подлинности, Прокси исполь-
ности сервера
зует сертификат проверки подлинности клиента, а сервер
федерации – сертификат проверки подлинности сервера.
Кроме того, неб-ссрверам AD FS необходимы сертификаты
проверки подлинности сервера с целью аутентификации
себя в браузерах клиентов
Ферма серверов
В AD FS – коллекция серверов федерации, прокси-сер-
веров федерации или веб-ссриерон со сбалансированной
загрузкой, испольауюших неб-агент AD FS
Ориентированная
Архитектура SOA ни основе стандартов, не зависит
на службы архитек– от языка
тура SOA (Service-
н использует веб-службы для поддержки распределенных
Oriented Architec-
служб в Интернете
ture)
Единый вход SSO
Единый (сквозной) вход SSO упрощает доступ
(Single sign-on)
к приложению, требуя от пользователя лишь один раз
войти в систему
Сертификат для
Сертификат X50D, связанная пара открытого и закрытого
подписи маркера
ключей которого используется серверами федерации для
цифровой подписи всех маркеров безопасности, создавае-
мых серверами федерации
Политика доверия
Определяет набор параметров, необходимых службе феде-
рации для идентификации партнеров, сертификатов, хра-
нилищ учетных записей, утверждений и различных свойств
объектов, связанных со службой федерации. Для зтой по-
литики предназначен файловый формат XML
Унифицированный Идентификаторы URI применяются в AD FS
идентификатор
для идентификации партнеров и хранилищ учетных
ресурсов UR1
записей
(Uniform Resource
Identifier)
Сертификат про-
Открытый ключ сертификата для подписи маркера,
верки (контроль-
который загружается на псе серверы федерации
ный сертификат)
в организации
Веб-службы (WS-*) Стандартная служба Интернета, формирующая часть
архитектуры SOA. Спецификации архитектуры неб-служб
базируются на промышленных стандартах, таких как SOAP
(Simple Object Access Protocol), XML, WSDL (Web Service
Description Language) и UDDI (Universal Description,
Discovery And Integration). Веб-службы представляют
собой средства построения распределенных систем,
которые могут легко н эффективно связываться и взаи-
модействовать друг с другом через Интернет, независимо
оттого, на каком языке иаиисаны и на кикой платформе
работают
Занятие 1
Концепция служб федерации Active Directory
Табл. 17-1 ( окончание)
Термин
Описание
Безопасность
Спецификации SOA, и которых описыпается цифровая подина,
веб-служб
н шифрование сообщений SOAP
(WS-Seeurity)
Приложение, ис-
Приложение Windows, использующее проверку подлинности
пользующее марке-
Windows NT для обработки данных авторизации
ры Windows NT
WS-Fcderation
Спецификация веб-сервера, описывающая стандарты,
