Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 83 (всего у книги 91 страниц)

необходимые при реализации федерации

Профиль пассив-

Компонент WS-Fcderation, который описывает стандартный

ных запросов фе-

протокол, используемый при получении пассивными клиента-

дерации всб-служб ми доступа к приложению через службу федерации

( W S – F P R P )

Установка служб федерации Active Directory

Д л я б а з о в о й у с т а н о в к и AD FS требуется несколько компьютеров. В идеале

н е о б х о д и м ы два д о м е и а AD DS, две демилитаризованные зоны (сети по пе-

р и м е т р у ) и с е р в е р ы AD FS, р а с п р е д е л е н н ы е и каждой среде. Организация

у ч е т н ы х з а п и с е й у п р а в л я е т структурой AD DS и хотя бы одним внутренним

сервером ф е д е р а ц и и , а т а к ж е прокси службы федерации и демилитаризованной

зоне. О р г а н и з а ц и я ресурсов д о л ж н а располагать структурой AD DS и хотя бы

о д н и м в н у т р е н н и м сервером федерации. Ее демилитаризованная зона должна

с о д е р ж а т ь х о т я бы один веб-сервер AD FS и один прокси службы федерации.

О д н а к о п о л н о е р а з в е р т ы в а н и е будет базироваться на таких соображениях, как

ч и с л о п а р т н е р с к и х о р г а н и з а ц и й , тип совместно используемых приложений,

т р е б о в а н и е в ы с о к о й готовности и балансировки нагрузки и т. д.

Тестовые среды обычно состоят из четырех компьютеров: клиент, исб-сервср

AD FS и два сервера федерации, которые будут принимать участие в федерации

AD FS между д в у м я о р г а н и з а ц и я м и . Д л я корректной работы структуры AD FS

следует с и н х р о н и з и р о в а т ь часы компьютеров, чтобы временная разница между

н и м и с о с т а в л я л а не боле пяти минут, поскольку в противном случае временные

м е т к и м а р к е р о в б у д у т н е д е й с т в и т е л ь н ы . Поскольку многие компьютеры не

я в л я ю т с я ч а с т ь ю д о м е н а AD DS, д л я синхронизации времени нельзя приме-

н я т ь м а с т е р о п е р а ц и й P D C – э м у л я т о р ( P D C Emulator). Оптимальный способ

с и н х р о н и з а ц и и в р е м е н и состоит в использовании протокола N T P (Network

T i m e P r o t o c o l ) д л я с в я з ы в а н и я каждого сервера с внешним сервером времени

и с и н х р о н и з а ц и и часов на всех серверах.

К СВЕДЕНИЮ Использование протокола NTP для синхронизации времени

Более подробную информацию об установке NTP на серверах с целью еннхронн-

зацин времени и демилитаризованной зоне (периметре) н внутренних сетях можно

найти и руководстве «Windows Server 2008: The Complete Reference», написанном

Даниэль Рост и Нельсоном Рестом (McGraw-Hill. Osborne, 2008).

I 8 5 8 Службы федерации Active Directory

Глава 17

Контрольные вопросы

1. Ваша организация является партнером по учетным записям в федерации.

Организации нужно поддерживать доступ пользователей из Интернета, од-

нако из соображений конфиденциальности и безопасности она не желает

указывать свое имя в раскрывающемся списке. Какие возможности доступны

для выполнения этой задачи?

2. Какие четыре службы ролей составляют роль сервера AD FS?

3. Опишите три типа развертывания AD FS.

Ответы на контрольные в о п р о с ы

1. Чтобы не включать имя вашей организации в раскрывающийся список ор-

ганизаций на веб-странице сервера федерации, применяется параметр whr,

а нмя организации включается непосредственно в запрос для получения

доступа к приложению. Далее показан формат такого запроса:

https ://веб_сервер/иия_лри/га*ения/сграница_лри/южения. aspx?whr=urn:

federation: паргнер_по_учету

2. Роль AD FS включает следующие четыре службы ролей.

• Служба федерации ( F e d e r a t i o n S e r v i c e ) О б е с п е ч и в а е т о с н о в н ы е

функции AD FS, включая управление доступом к ресурсам, фильтрацию

утверждений и генерирование маркеров безопасности.

• Проксн-агент службы федерации (Federation Service P r o x y ) Представ-

ляет ретранслятор в Интернете, который передаст запросы на внутренние

серверы службы федерации.

• Агент, поддерживающий утверждения (Claims-Aware A g e n t ) Позволя-

ет выполнять интеграцию веб-приложений в процессы AD FS.

• Агент Windows на основе маркеров (Windows Token-based Agent) Под-

держивает интеграцию приложений Windows в процессы AD FS.

3. Существует три типа развертывания AD FS: Единый вход федерации для

Интернет-решений (Federated Web Single-Sign-On), Единый вход федерации

для Интернет-решений с доверием лесов (Federated Web SSO With Forest

Trust) и Единый вход для Интернет-решений (Web SSO).

Требования к установке AD FS

Чтобы подготовиться к р а з в е р т ы в а н и ю AD FS, н у ж н о в ы п о л н и т ь п р е д в а р и -

тельные условия. В табл. 17-2 перечислены о с н о в н ы е т р е б о в а н и я о т н о с и т е л ь н о

развертывания AD FS. Отметим, что с л у ж б а ф е д е р а ц и и в п е р в ы е п о я в и л а с ь в

выпуске Windows Server 2003 R2, и потому с и с т е м ы ф е д е р а ц и и W i n d o w s Server

2003 R2 и Windows Server 2008 в з а и м о д е й с т в у ю т д р у г с другом, но в табл. 17-2

перечислены только требования AD FS в W i n d o w s Server 2008.

К СВЕДЕНИЮ Пошаговые руководства AD FS

Пошаговые руководства AD FS можно найти по адресу http://technet2.microsoft.com/

windowsserver/en/technologies/featured/adfs/default.mspx.

Занятие 1

Концепция служб федерации Active Directory

8 5 9

Табл. 17-2. Требования к развертыванию AD FS

Оборудование/ Требование

Примечание

Программное

обеспечение

Процессор

133 МГц для сис-

Поскольку требования к процессору, памяти и

тем х86

дисковому пространству для ролей сервера AD

FS довольно невысокие, с помощью Hyper-V

можно без труда осуществить виртуализацию

роли AD FS

Оперативная

512 Мбайт

Рекомендуется 1 Гбайт. Для процессов AD FS

память

не требуется много памяти, однако всегда лучше

всего выделять не менее 1 Гбайт

О б ъ е м дис-

10 Мбайт для уста– Рекомендуется большой системный том объемом

кового про-

новки AD FS

не менее 50 Гбайт, чтобы обеспечить возмож-

странства

ность роста

Операцион-

Windows Server

Служба федерации (Federation Service), Прок-

ная система

2 0 0 8

си-агент службы федерации (Federation Service

Enterprise Edition

Proxy) и веб-агент AD FS (AD FS Web Agent) не

D a t a c e n t e r Edition работают в более ранних операционных системах

Веб-службы

IIS вместе с ASP.

Используйте I1S 7.0 вместе с ASP.NET 2.0 и .NET

N E T и .NET Frame– Framework 2.0

work 2.0

Р а з м е щ е н и е

Размещение no

Служба федерации и проксн-агент службы фе-

установки

у м о л ч а н ш о на сис– дерации не могут сосуществовать на одном ком-

темном диске

пьютере

Требования

Как м и н и м у м лес

В идеале необходимы два леса. В крайнем

х р а н и л и щ

с одним доменом

случае – один лес и одно хранилище AD LDS

учетных запи-

сей A D DS

и A D LDS

С е р т и ф и к а т

Получите сертифи– Д л я получения доверенного сертификата или

установки д л я кат проверки под-

СА предприятия используйте внешний сто-

T L S / S S L h

линности сервера

ронний коммерческий центр сертификации.

подписания

SSL д л я каждой

Применяются самозаверяющне сертификаты

маркеров

развернутой роли

только в тестовых средах. Для каждого сервера

сервера AD FS

федерации, прокси-сервера службы федерации

и серверов с веб-агентами необходим сертификат

проверки подлинности

Сетевые под– Подключения IPv4 Сетевые подключения должны быть установ-

клгочення

и IPv6 со статичес– лены между клиентом, контроллером домена п

T C P / I P

ки назначенными

компьютерами, управляющими службой феде-

адресами (в иде-

рации, прокси-агентом службы федерации н веб-

але)

агентом AD FS

Конфигура-

Создайте настра-

Не используйте хост-файлы вместе с DNS. При-

ция D N S

иваемые записи

меняйте соответствующую регистрацию DNS

C N A M E внутрен-

него сервера, на

котором запущена

служба федерации

(см. след. стр.)

8 6 0 Службы федерации Active Directory

Глава 17

Табл.17-2 ( окончание)

Оборудование/ Требование

Примечание

Программное

обеспечение

Веб-браузер

Microsoft Internet

Для сериеров федерации н веб-приложений

Explorer не ниже

необходимо включить JScript и хотя бы доверен-

версии 5, Mozilla

ные файлы cookie

Firefox н Safari на

компьютерах Apple

Клиентская

Windows ХР или

Рекомендуется Windows Vista

операционная Windows Vista для

клиента AD FS

СОВЕТ К ЭКЗАМЕНУ

Роль сервера AD FS является идеальным кандидатом на виртуализацию с помощью

Hypcr-V в Windows Server 2008.

Контрольные вопросы

1. Какие порты должны быть открыты в брандмауэре для поддержки операций

AD FS?

2. Какие типы утверждений поддерживаются в AD FS?

Ответы на контрольные вопросы

1. Для выполнения всех операций технология AD FS использует одни SSL/TLS

HTTP или HTTPS-порт 443.

2. В AD FS поддерживаются три типа утверждений.

• Идентификационные утверждения с основным именем пользователя

(UPN), адресом электронной почты или основным именем (CN).

• Утверждения о группе, представляющие членство в конкретных группах

распространения или безопасности AD DS.

• Настраиваемые утверждения, которые, как правило, включают любые

настраиваемые данные, такие как номер счета пользователя в банке.

Соображения относительно м о д е р н и з а ц и и

Многие организации предпочитают и с п о л ь з о в а т ь к о н к р е т н у ю у ч е т н у ю з а п и с ь

службы при развертывании таких служб, к а к AD FS. Е с л и т а к и м о б р а з о м вы-

полняется развертывание AD FS в W i n d o w s Server 2 0 0 3 R2, н у ж н о з а п о м н и т ь

учетную запись и пароль, назначенные д л я этой с л у ж б ы , п о с к о л ь к у в процессе

обновления AD FS все эти службы по у м о л ч а н и ю а в т о м а т и ч е с к и с б р а с ы в а ю т с я

и используется учетная запись Сетевая с л у ж б а ( N e t w o r k Service). П о с л е об-

новления вы можете вновь вернуться к и м е н о в а н н о й у ч е т н о й з а п и с и с л у ж б ы ,

назначенной ранее.

Желательно прежде, чем реализовать в п р о и з в о д с т в е н н ы х сетях модерниза-

цию, протестировать ее лабораторно (например, в в и р т у а л ь н о й тестовой среде).

Занятие 1

Концепция служб федерации Active Directory 8 6 1

Практические занятия. Подготовка к развертыванию AD FS

В п р и в е д е н н ы х д а л е е у п р а ж н е н и я х предлагается создать сложную среду AD

FS, с о с т о я щ у ю из н е с к о л ь к и х компьютеров. Их к о н ф и г у р а ц и я описана в под-

р а з д е л е « П р е ж д е всего» в н а ч а л е главы. В табл. 17-3 указаны роли каждого

д о м е н а и к о м п ь ю т е р а в р а з в е р т ы в а н и и AD FS.

Табл. 17-3. Роли компьютеров в развертывании AD FS

Имя домена

Роль

contoso.com

Домен учетных записей

woodgiovebank.coin Домен ресурсов

Имя компьютера

Роль

SERVER01

Контроллер домена AD DS с именем contoso.com, который явля-

ется доменом учета

S E R V E R 0 3

Сервер федерации домена учета contoso.com

SERVER04

Прокси-сервер службы федерации домена учета contoso.com

S E R V E R 0 5

Сервер с базой данных SQL Server для развертывания AD RMS

в домене contoso.com

SERVER06

Контроллер домена AD DS с именем woodgrovebank.com, кото-

рый является доменом ресурсов

SERVER07

Сервер федерации домена ресурсов woodgrovebank.com

SERVER08

Прокси-сервер службы федерации и веб-сервер AD DS домена

ресурсов woodgrovebank.com

Н а ч н и т е с п о д г о т о в к и D N S в каждом лесу, а затем приступайте к установке

с е р в е р о в ф е д е р а ц и и . П о т о м у с т а н о в и т е в обоих лесах прокси-серверы службы

ф е д е р а ц и и , а в л е с у р е с у р с о в создайте веб-сайт AD FS.

ВНИМАНИЕ! Демилитаризованные зоны

Отметим, что данная структура не включает сеть по периметру, или демилитаризо-

ванную зону, д л я которой требуется сложная конфигурация TCP/IP, не связанная с

практическими упражнениями в этой главе. Тем не менее включите в развертывание

AD FS размещение соответствующих серверов в сети по периметру, как описано

на занятии 1.

Упражнение 1. Настройка перекрестных ссылок DNS

В э т о м у п р а ж н е н и и п р е д л а г а е т с я о т к о н ф и г у р и р о в а т ь DNS-серверы в каждом

лесу, ч т о б ы с с ы л а т ь с я иа с е р в е р ы в другом лесу. Поскольку леса не зависят

д р у г от д р у г а , их D N S – с е р в е р ы не з н а ю т о существовании друг друга. Чтобы

о б м е н и в а т ь с я и н ф о р м а ц и е й м е ж д у лесами, необходимо реализовать в каждом

л е с у п е р е к р е с т н ы е с с ы л к и DNS. С а м ы й простой способ выполнить эту зада-

чу – и с п о л ь з о в а т ь п е р е с ы л к и ПУ одного домеиа в другой и наоборот.

1. З а п у с т и т е м а ш и н ы S E R V E R 0 1 и S E R V E R 0 6 . Войдите па машину SER-

V E R 0 1 к а к а д м и н и с т р а т о р домена.

2. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите

Д и с п е т ч е р сервера (Server Manager).

г 8 5 2 Службы федерации Active Directory

Глава 17

3 . Разверните у з е л Р о л и О Ы З – с е р в е р О Ы 5 З Е И У Е 1 1 0 1 .

4. На панели дерева щ е л к н и т е п р а в о й к н о п к о й м ы ш и S E R V E R 0 1 и в ы п о л н и т е

команду С в о й с т в а ( P r o p e r t i e s ) .

5. Перейдите на в к л а д к у П е р е с ы л к а ( F o r w a r d e r s ) и щ е л к н и т е к н о п к у И з м е -

нить ( E d i t ) .

6 . Введите IP-адрес м а ш и н ы S E R V E R 0 6 и д в а ж д ы щ е л к н и т е О К .

7. Повторите эту п р о ц е д у р у на м а ш и н е S E R V E R 0 6 и д о б а в ь т е I P – а д р е с ма-

шины S E R V E R 0 1 в к а ч е с т в е п е р е с ы л к и д л я м а ш и н ы S E R V E R 0 6 .

8. Протестируйте результаты о п е р а ц и и п у т е м п е р е д а ч и п а к е т о в p i n g с о д н о г о

сервера н а другой. Н а п р и м е р , д л я п е р е д а ч и п а к е т о в p i n g с м а ш и н ы S E R -

VEROI н а компьютер S E R V E R 0 6 и с п о л ь з у й т е с л е д у ю щ у ю к о м а н д у :

ping serverOi.contoso.соя

В ы должны п о л у ч и т ь о т в е т с у к а з а н и е м I P – а д р е с а м а ш и н ы S E R V E R O I .

Упражнение 2. Установка серверов федерации

Теперь установите серверы ф е д е р а ц и и . Д л я э т о г о п о т р е б у е т с я у с т а н о в и т ь р о л ь

сервера и необходимые с л у ж б ы п о д д е р ж к и .

1. Запустите м а ш и н ы S E R V E R O I , S E R V E R 0 3 , S E R V E R 0 6 и S E R V E R 0 7 . Вой-

дите н а м а ш и н у S E R V E R 0 7 к а к а д м и н и с т р а т о р д о м е и а .

Д л я у с т а н о в и ! A D F S и р а б о т ы с н и м и п р и в и л е г и и у р о в н я а д м и н и с т р а т о -

ра домена не н у ж н ы , просто в у п р а ж н е н и и э т и п р и в и л е г и и и с п о л ь з у ю т с я

д л я наглядности. Д л я р а б о т ы с A D F S т р е б у ю т с я л и ш ь п р а в а л о к а л ь н о г о

администратора.

2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е

Диспетчер сервера ( S e r v e r M a n a g e r ) ,

3. На панели дерева щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Р о л и ( R o l e s ) и в ы -

полните команду Д о б а в и т ь р о л и ( A d d R o l e s ) .

4. На странице Перед началом работы ( B e f o r e You Begin) щ е л к н и т е Д а л е е ( N e x t ) .

5 . Н а странице Выбор ролей с е р в е р а ( S e l e c t S e r v e r R o l e s ) у с т а н о в и т е ф л а ж о к

Службы ф е д е р а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n S e r v i c e s )

и щелкните Д а л е е ( N e x t ) .

6. Просмотрите с в е д е н и я о р о л и и щ е л к н и т е Д а л е е ( N e x t ) .

7 . Н а странице В ы б о р с л у ж б р о л е й ( S e l e c t R o l e S e r v i c e s ) у с т а н о в и т е ф л а -

жок Служба ф е д е р а ц и и ( F e d e r a t i o n S e r v i c e ) . Д и с п е т ч е р с е р в е р а п о т р е б у е т

добавить н е о б х о д и м ы е с л у ж б ы р о л е й и к о м п о н е н т ы . Щ е л к н и т е к н о п к у

Добавить необходимые с л у ж б ы р о л е й ( A d d R e q u i r e d Role Services), а з а т е м

Далее (Next).

8. На странице Выбор с е р т и ф и к а т а п о д л и н н о с т и с е р в е р а д л я ш и ф р о в а н и я S S L

(Choose A Server A u t h e n t i c a t i o n C e r t i f i c a t e F o r S S L E n c r y p t i o n ) в ы б е р и т е

параметр Создать с а м о з а в е р я ю щ и й с е р т и ф и к а т д л я ш и ф р о в а н и я S S L ( C r e -

ate A Self-Signed C e r t i f i c a t e For S S L E n c r y p t i o n ) и щ е л к н и т е Д а л е е ( N e x t ) ,

Занятие 1

Концепция служб федерации Active Directory 8 6 3

В п р о и з в о д с т в е н н о й с р е д е с е р т и ф и к а т ы н е о б х о д и м о запросить в дове-

р е н н о м ц е н т р е с е р т и ф и к а ц и и , чтобы все ваши системы могли совместно

р а б о т а т ь в И н т е р н е т е .

9. На с т р а н и ц е В ы б о р с е р т и ф и к а т а д л я подписи маркера (Choose A Token-

S i g n i n g C e r t i f i c a t e ) в ы б е р и т е п а р а м е т р Создать самозаверяющий сертифи-

к а т д л я п о д п и с и м а р к е р а ( C r e a t e A Self-Signed Token-Signing Certificate)

и щ е л к н и т е Д а л е е ( N e x t ) .

10. На с т р а н и ц е В ы б о р п о л и т и к и д о в е р и я (Select Trust Policy) выберите пара-

м е т р С о з д а т ь н о в у ю п о л и т и к у д о в е р и я ( C r e a t e A New Trust Policy) и щелк-

н и т е Д а л е е ( N e x t ) .

З а п о м н и т е п у т ь с о х р а н е н и я э т о й п о л и т и к и доверия, поскольку д а н н а я

п о л и т и к а п о т р е б у е т с я д л я р а б о т ы с в я з и федерации.

И . П р о с м о т р и т е с в е д е н и я н а с т р а н и ц е веб-сервер ( I I S ) (Web Server ( I I S ) )

и щ е л к н и т е Д а л е е ( N e x t ) .

12. На с т р а н и ц е В ы б о р с л у ж б р о л е й (Select Role Services) примите параметры

п о у м о л ч а н и ю и щ е л к н и т е Д а л е е ( N e x t ) .

13. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е параметры (Confirm Installation Selec-

t i o n s ) п р о с м о т р и т е в ы б р а н н ы е параметры и щелкните кнопку Установить

( I n s t a l l ) .

14. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е кнопку З а к р ы т ь (Close).

15. П о в т о р и т е э т у п р о ц е д у р у н а м а ш и н е S E R V E R 0 3 .

Н а к о м п ь ю т е р е S E R V E R 0 3 эта о п е р а ц и я будет выполнена быстрее, по-

с к о л ь к у S E R V E R 0 3 я в л я е т с я к о р н е в ы м центром сертификации. Тем н е

м е н е е у к а ж и т е те же п а р а м е т р ы , что д л я S E R V E R 0 7 , и по возможности

и с п о л ь з у й т е с а м о з а в е р я ю щ и е с е р т и ф и к а т ы .

ВНИМАНИЕ! Веб-сайт по умолчанию

После установки AD FS на обоих серверах федерации необходимо отконфигури-

ровать в IIS сайт по умолчанию Default Web Site с использованием безопасности

T L S / S S L , как описано иа занятии 2.

Вы н а ч а л и с м а ш и н ы S E R V E R 0 7 , поскольку этот компьютер не содержит

н и к а к и х р о л е й и о т о б р а ж а е т все с т р а н и ц ы установки в процессе инсталляции

р о л и AD FS на н о в о м сервере. О т м е т и м , что поскольку иа машине SERVER03

у ж е у с т а н о в л е н ы н е к о т о р ы е р о л и сервера, процесс инсталляции AD FS на этом

с е р в е р е в ы п о л н я е т с я быстрее.

Упражнение 3. Установки прокси-серверов службы федерации

У с т а н о в и т е п р о к с и – с е р в е р ы с л у ж б ы федерации. Д л я этого потребуется уста-

н о в и т ь р о л ь с е р в е р а и н е о б х о д и м ы е с л у ж б ы ролей.

1. З а п у с т и т е м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 , SERVER04, SERVER06, SER-

V E R 0 7 и S E R V E R 0 8 . В о й д и т е на м а ш и н у S E R V E R 0 8 как администратор

д о м е н а .

I 8 6 4 Службы федерации Active Directory

Глава 17

2. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) запустите

Диспетчер сервера (Server M a n a g e r ) .

3. На странице Перед началом р а б о т ы ( b e f o r e You B e g i n ) щ е л к н и т е Д а л е е

(Next).

4. На странице Выбор ролей сервера (Select S e r v e r Roles) у с т а н о в и т е ф л а ж о к

Службы федерации Activc Directory ( A c t i v e D i r e c t o r y F e d e r a t i o n Services)

и щелкните Далее (Next).

5. Просмотрите сведения о роли и щ е л к н и т е Д а л е е ( N e x t ) .

6. На странице Выбор с л у ж б ролей (Select Role S e r v i c e s ) у с т а н о в и т е ф л а ж о к

Проксн-агент службы ф е д е р а ц и и ( F e d e r a t i o n S e r v i c e P r o x y ) и щ е л к н и т е

кнопку Добавить необходимые с л у ж б ы р о л е й ( A d d R e q u i r e d Role Services).

7 Установите ф л а ж о к Веб-агенты AD FS ( A D FS W e b A g e n t s ) и щ е л к н и т е

Далее (Next).

Несмотря на то что добавить п р о к с н – а г е н т с л у ж б ы ф е д е р а ц и и па с е р в е р

федерации невозможно, вполне д о п у с т и м о к о м б и н и р о в а т ь п р о к с и – а г е и т а

службы федерации F S P ( F e d e r a t i o n Service P r o x y ) и в е б – а г е н т ы AD FS.

8. На странице Выбор с е р т и ф и к а т а п о д л и н н о с т и с е р в е р а д л я ш и ф р о в а н и я

SSL (Choose A Server A u t h e n t i c a t i o n C e r t i f i c a t e For S S L E n c r y p t i o n ) вы-

берите параметр Создать с а м о з а в е р я ю щ и й с е р т и ф и к а т д л я ш и ф р о в а н и я

SSL (Create A Self-Signed Certificate For SSL E n c r y p t i o n ) и щ е л к н и т е Д а л е е

(Next).

В производственной среде с е р т и ф и к а т ы н е о б х о д и м о з а п р о с и т ь в д о в е р е н -

ном центре сертификации, чтобы все с и с т е м ы м о г л и с о в м е с т н о р а б о т а т ь

в Интернете.

9. На странице Задание сервера ф е д е р а ц и и (Specify F e d e r a t i o n S e r v e r ) введите

имя server07.wooelgrovebank.com и щ е л к н и т е к н о п к у П р о в е р и т ь (Validate).

Проверка должна з а в е р ш и т ь с я неудачно, п о с к о л ь к у м е ж д у к о м п ь ю т е р а м и

пока еще не установлена д о в е р е н н а я с в я з ь . Ч т о б ы в ы п о л н и т ь эту задачу,

нужно через 11S э к с п о р т и р о в а т ь и и м п о р т и р о в а т ь с е р т и ф и к а т ы S S L д л я

каждого сервера. Эта задача будет в ы п о л н е н а иа з а м я т и и 2.

10. Щелкните Далее (Next).

11. На странице Выбор с е р т и ф и к а т а п о д л и н н о с т и к л и е н т а ( C h o o s e A C l i e n t

Authentication Certificate) в ы б е р и т е п а р а м е т р С о з д а т ь с а м о з а в е р я ю щ и й

сертификат проверки п о д л и н н о с т и к л и е н т а ( C r e a t e A S e l f – S i g n e d C l i e n t

Authentication Certificate) и щ е л к н и т е Д а л е е ( N e x t ) .

12. Просмотрите сведения на с т р а н и ц е В е б – с е р в е р ( I I S ) ( W e b S e r v e r ( I I S ) )

и щелкните Далее (Next).

13. На странице Выбор с л у ж б ролей (Select Role Services) п р и м и т е п а р а м е т р ы

по умолчанию и щелкните Д а л е е ( N e x t ) .

14. Па странице Подтвердите выбранные параметры ( C o n f i r m Installation Selec-

tions) просмотрите в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Установить

(Install).

15. После завершения установки щ е л к н и т е к н о п к у З а к р ы т ь (Close).

Занятие 1

Концепция служб федерации Active Directory

865

16. П о в т о р и т е эту операцию па машине SERVER04 в домене contoso.com. В ка-

честве и м е н и сервера ф е д е р а ц и и введите server03.contoso.com. Кроме того,

и с п о л ь з у й т е с а м о з а в е р я ю щ и й сертификат и не устанавливайте веб-агенты

AD FS на м а ш и н е S E R V E R 0 4 . Эта машина будет выполнять лишь роль

п р о к с и – а г е н т а с л у ж б ы федерации, поскольку она расположена в органи-

з а ц и и у ч е т н ы х записей.

Вы н а ч а л и р а з в е р т ы в а н и е с м а ш и н ы SERVER08, поскольку ие ней не уста-

н о в л е н ы н и к а к и е р о л и и отображаются все страницы мастера инсталляции

р о л и AD FS на н о в ы й сервер. На машине SERVER04 уже установлены

н е к о т о р ы е р о л и сервера, так что процесс установки на этом сервере будет

в ы п о л н е н быстрее.

СОВЕТ К ЭКЗАМЕНУ

Внимательно изучите все типы установки, поскольку вопросы о них включены

в сертификационный экзамен.

Резюме

• Т е х н о л о г и я AD FS р а с ш и р я е т внутреннее хранилище проверки подлиннос-

ти во в н е ш н и е среды с помощью федерации удостоверений и доверительных

с в я з е й ф е д е р а ц и и .

• В п а р т н е р с к о й с в я з и ф е д е р а ц и и всегда участвует организация ресурсов

и о р г а н и з а ц и я у ч е т н ы х записей. Организация ресурсов может быть парт-

н е р о м н е с к о л ь к и х о р г а н и з а ц и й учета, но организация учета – партнером

л и ш ь о д н о й о р г а н и з а ц и и ресурсов.

• Д л я п р о в е р к и п о д л и н н о с т и сервера и клиента в AD FS используются ком-

м у н и к а ц и и Secure H T T P с сертификатами проверки подлинности SSL. По

э т о й п р и ч и н е все к о м м у н и к а ц и и осуществляются через I-ITTPS-порт 443.

• Т е х н о л о г и я AD FS представляет собой реализацию веб-служб иа основе

с т а н д а р т о в , г а р а н т и р у ю щ и х взаимодействие с партнерами, которые ра-

б о т а ю т с р а з л и ч н ы м и о п е р а ц и о н н ы м и системами, такими как Windows,

U N I X и Linux.

Закрепление материала

П р и в е д е н н ы й далее вопрос предназначен для проверки знаний, полученных на

з а н я т и и 1 (этот вопрос содержится и на сопроводительном компакт-диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Вы работаете с и с т е м н ы м администратором в компании Contoso, Ltd. Ваша

о р г а н и з а ц и я уже располагает связью федерации с Woodgrove Bank, кото-

рая р е а л и з о в а н а с п о м о щ ь ю служб федерации в Windows Server 2003 R2.

Д л я п о в ы ш е н и я у р о в н я безопасности вы развернули службу федерации

Службы федерации Active Directory

Глава 17

с использованием и м е н о в а н н ы х у ч е т н ы х з а п и с е й с л у ж б ы и т е п е р ь готовы

приступать к модернизации системы до AD FS, о д н а к о п р и в ы п о л н е н и и

обновления именованная учетная з а п и с ь с л у ж б ы , п р е д н а з н а ч е н н а я д л я за-

пуска, была удалена и заменена учетной з а п и с ь ю С е т е в а я с л у ж б а ( N e t w o r k

Service). Почему это п р о и з о ш л о ?

А Вы не можете использовать и м е н о в а н н у ю у ч е т н у ю з а п и с ь д л я з а п у с к а

службы AD FS.

Б. Учетная запись Сетевая служба ( N e t w o r k Service) и с п о л ь з у е т с я по у м о л -

чанию д л я запуска с л у ж б ы при у с т а н о в к е и л и о б н о в л е н и и д о A D FS.

В. Банк Woodgrove п р о в о д и т политику, с о г л а с н о к о т о р о й все с л у ж б ы ф е -

дерации должны запускаться с и с п о л ь з о в а н и е м у ч е т н о й з а п и с и С е т е в а я

служба (Network Service).

Г. Д л я запуска служб ф е д е р а ц и и к о р п о р а ц и я M i c r o s o f t п р е д п о ч и т а е т ис-

пользовать учетную запись Сетевая с л у ж б а ( N e t w o r k Service) и п о э т о м у

сбрасывает текущую у ч е т н у ю з а п и с ь .

Занятие 2. Настройка служб федерации Active Directory

Итак, серверы в партнерстве AD FS д о л ж н ы и с п о л ь з о в а т ь с е р т и ф и к а т ы д л я

создания цепочки доверия д р у г другу и г а р а н т и р о в а т ь ш и ф р о в а н и е в с е г о тра-

фика, пересылаемого по этой цепочке. Как г о в о р и л о с ь в г л а в е 15, о п т и м а л ь н ы й

способ гарантировать д о п у с т и м о с т ь э т о й ц е п о ч к и д о в е р и я во в с е х т о ч к а х со-

стоит либо в получении с е р т и ф и к а т о в из д о в е р е н н о г о с т о р о н н е г о ц е н т р а сер-

тификации, либо в создании с в я з а н н о й р е а л и з а ц и и AD CS с и с п о л ь з о в а н и е м

стороннего центра с е р т и ф и к а ц и и ка к к о р н е в о г о СА.

Это л и ш ь одни аспект к о н ф и г у р а ц и и A D FS, к о т о р о м у н у ж н о у д е л и т ь

внимание. При развертывании A D F S н е о б х о д и м о к о н ф и г у р и р о в а т ь п р и л о ж е -

ния AD FS, политики д о в е р и я м е ж д у п а р т н е р с к и м и о р г а н и з а ц и я м и , а т а к ж е

утверждения о пользователях и группах. Л и ш ь п о с л е в ы п о л н е н и я э т и х задач

можно приступать к запуску и у п р а в л е н и ю AD FS.

К СВЕДЕНИЮ Операции AD FS

Более подробная информация об операциях AD FS с о д е р ж и т с я в с п р а в о ч н и к е « A D FS

Operations Guide» по адресу http://technet2.microsoft.com/winelowsserver/en/librwy/

007d4d62-2e2e-43a9-8652-9108733cbb731033.msox?mfr-t,-ue.

Изучив материал этого занятия, вы сможете:

' Управлять сертификатами AD FS.

' Полностью отконфигурировать серверы AD FS;

' Работать с политиками доверия AD FS.

Продолжительность занятия – о к о л о лп м » и

Занятие 2

Настройка служб федерации Active Directory 8 6 7

Завершение настройки AD FS

Д л я т о г о ч т о б ы з а в е р ш и т ь н а с т р о й к у п р и р а з в е р т ы в а н и и A D FS, необходимо

в ы п о л н и т ь н е с к о л ь к о о п е р а ц и й .

• О т к о н ф и г у р и р о в а т ь в е б – с л у ж б у на к а ж д о м сервере, чтобы использовать

ш и ф р о в а н и е S S L / T L S д л я веб-сайта, у п р а в л я ю щ е г о службой A D FS.

м Э к с п о р т и р о в а т ь с е р т и ф и к а т ы с каждого сервера и импортировать их на дру-.

гие с е р в е р ы , ф о р м и р у ю щ и е связь. Например, чтобы поддерживать процессы

о б м е н а м а р к е р а м и б е з о п а с н о с т и AD FS, сертификат для подписи маркеров

с е р в е р а ф е д е р а ц и и н е о б х о д и м о у с т а н о в и т ь как сертификат проверки н а

д р у г и х с е р в е р а х в д о в е р и т е л ь н о й связи.

• О т к о н ф и г у р и р о в а т ь IIS на серверах, которые будут управлять приложения-

ми, п о д д е р ж и в а ю щ и м и утверждения. Д л я коммуникаций таких приложений

э т и с е р в е р ы д о л ж н ы и с п о л ь з о в а т ь H T T P S .

• С о з д а т ь и о т к о н ф и г у р и р о в а т ь п р и л о ж е н и я с поддержкой утверждений,

к о т о р ы м и в ы б у д е т е у п р а в л я т ь .

• О т к о н ф и г у р и р о в а т ь с е р в е р ы ф е д е р а ц и и в каждой партнерской организа-

ц и и . Д л я э т о г о н у ж н о в ы п о л н и т ь с л е д у ю щ и е процедуры.

• В о р г а н и з а ц и и у ч е т н ы х з а п и с е й необходимо отконфигурировать по-

л и т и к у д о в е р и я , с о з д а т ь у т в е р ж д е н и я д л я пользователей и отконфи-

г у р и р о в а т ь х р а н и л и щ е у ч е т н ы х записей A D D S для федерации удос-

т о в е р е н и й .

• В о р г а н и з а ц и и р е с у р с о в следует отконфигурировать политику доверия,