Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 84 (всего у книги 91 страниц)
с о з д а т ь у т в е р ж д е н и я д л я пользователей, отконфигурировать хранилище
у ч е т н ы х з а п и с е й AD DS д л я ф е д е р а ц и и удостоверений, а затем вклю-
ч и т ь п р и л о ж е н и е с п о д д е р ж к о й утверждений.
• С о з д а т ь д о в е р и е ф е д е р а ц и и д л я в к л ю ч е н и я федерации удостоверений. Для
э т о г о т а к ж е н у ж н о в ы п о л н и т ь н е с к о л ь к о процедур.
• Э к с п о р т и р о в а т ь п о л и т и к у д о в е р и я из о р г а н и з а ц и и учетных записей
и и м п о р т и р о в а т ь ее в о р г а н и з а ц и ю ресурсов.
• В р е с у р с н о й о р г а н и з а ц и и создать и отконфигурировать сопоставление
у т в е р ж д е н и й .
• Э к с п о р т и р о в а т ь п а р т н е р с к у ю п о л и т и к у из ресурсной организации и им-
п о р т и р о в а т ь ее в о р г а н и з а ц и и у ч е т н ы х записей.
М н о г и е из э т и х о п е р а ц и й с в я з а н ы с сопоставлением сертификатов одного
с е р в е р а с е р т и ф и к а т а м другого. В а ж н о отметить возможность доступа к корням
и л и х о т я б ы в е б – с а й т а м , у п р а в л я ю щ и м списками отзыва сертификатов CRL
( C e r t i f i c a t e R e v o c a t i o n List) д л я каждого сертификата. Как описано в главе 15,
п о д л и н н о с т ь с е р т и ф и к а т а д л я ч л е н а ц е п о ч к и д о в е р и я определяется только
с п о м о щ ь ю с п и с к о в C R L . В с л у ч а е п о д д е р ж к и списков C R L для выполнения
э т о й з а д а ч и т а к ж е з а д е й с т в у е т с я с л у ж б а сетевого ответчика O C S P (Online
R e s p o n d e r ) и з A D CS.
г 8 6 8 Службы федерации Active Directory
Глава 17
В A D F S п р о в е р к а с п и с к о в C R L в к л ю ч е н а п о у м о л ч а н и ю . В о с н о в н о м
проверка C R L в ы п о л н я е т с я д л я с и г н а т у р м а р к е р о в б е з о п а с н о с т и , о д н а к о э т у
политику рекомендуется п р и м е н я т ь д л я всех ц и ф р о в ы х п о д п и с е й .
Использование AD FS и управление ими
После з а в е р ш е н и я н а с т р о й к и ф е д е р а ц и и у д о с т о в е р е н и и м о ж н о п р и с т у п а т ь
к а д м и н и с т р и р о в а н и ю и у п р а в л е н и ю с л у ж б а м и и р о л я м и с е р в е р о в AD FS
с п о м о щ ь ю к о н с о л и С л у ж б ы ф е д е р а ц и и A c t i v c D i r e c t o r y ( A c t i v e D i r e c t o r y
Federation Services) в Д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) . Д а л е е о п и с а н ы
административные задачи.
• Настройка с л у ж б ы ф е д е р а ц и и и л и ф е р м ы с е р в е р о в ф е д е р а ц и и . П о м н и т е ,
что в р а з в е р т ы в а н и е A D F S м о ж н о в к л ю ч и т ь т р и ф е р м ы с е р в е р о в :
о ф е р м у серверов ф е д е р а ц и и , в к о т о р о й о д н о й р о л ы о у п р а в л я ю т н е с к о л ь -
ко серверов;
• ф е р м у п р о к с и – с е р в е р о в с л у ж б ы ф е д е р а ц и и ;
• ф е р м у с е р в е р о в п р и л о ж е н и й , п о д д е р ж и в а ю щ и х у т в е р ж д е н и я , н а к о т о -
рых установлена р о л ь IIS.
• Управление п о л и т и к о й д о в е р и я , с в я з а н н о й с о с л у ж б о й ф е д е р а ц и и :
а а д м и н и с т р и р о в а н и е х р а н и л и щ у ч е т н ы х з а п и с е й в A D D S и л и A D
LDS;
о у п р а в л е н и е п а р т н е р а м и п о у ч е т н ы м з а п и с я м , р е с у р с а м и л и о б о и м и
т и п а м и партнеров, д о в е р я ю щ и х о р г а н и з а ц и и ;
о управление у т в е р ж д е н и я м и на с е р в е р а х ф е д е р а ц и и ;
о у п р а в л е н и е с е р т и ф и к а т а м и , к о т о р ы е и с п о л ь з у ю т с я с е р в е р а м и ф е д е -
рации;
• у п р а в л е н и е с е р т и ф и к а т а м и в в е б – п р и л о ж е н и я х с з а щ и т о й AD F S .
П о с к о л ь к у u A D F S и н т е н с и в н о п р и м е н я е т с я т е х н о л о г и я I1S, м н о г и е п а р а -
метры сервера ф е д е р а ц и и , к о н ф и г у р и р у е м ы е в у з л е С л у ж б ы ф е д е р а ц и и A c t i v e
Directory (Active Directory F e d e r a t i o n S e r v i c e s ) д и с п е т ч е р а с е р в е р а , х р а н я т с я
в ф а й л е Web.config, р а с п о л о ж е н н о м в в и р т у а л ь н о м к а т а л о г е с л у ж б ф е д е р а ц и и
в IIS. Другие п а р а м е т р ы к о н ф и г у р а ц и и х р а н я т с я в ф а й л е п о л и т и к и д о в е р и я .
Как и в случае с п а р а м е т р а м и 1IS, ф а й л W e b . c o n f i g м о ж н о с в о б о д н о р е д а к т и -
ровать н а п р я м у ю , п о с к о л ь к у это всего л и ш ь т е к с т о в ы й ф а й л . Д а л е е у к а з а н ы
параметры, к о т о р ы м и м о ж н о у п р а в л я т ь с п о м о щ ь ю ф а й л а W e b . c o n f i g :
* путь к ф а й л у п о л и т и к и д о в е р и я ;
* л о к а л ь н ы й с е р т и ф и к а т д л я п о д п и с и м а р к е р о в ;
* расположение в е б – с т р а н и ц ASP.NET, п о д д е р ж и в а ю щ и х с л у ж б у ;
ш уровень в е д е н и я ж у р н а л а о т л а д к и д л я с л у ж б ы , а т а к ж е п у т ь к каталогу!
ф а й л о в журнала;
• возможность контроля т и п а доступа, н а п р и м е р а н о н и м н о г о д о с т у п а , с целью
группирования у т в е р ж д е н и й , п р и г о т о в л е н н ы х д л я о р г а н и з а ц и и .
Занятие 2
Настройка служб федерации Active Directory 8 6 9
В процессе р е д а к т и р о в а н и я ф а й л Web.config можно публиковать на других
серверах, д л я к о т о р ы х необходимы такие же параметры конфигурации. После
сброса с т а р ы х п а р а м е т р о в I1S в силу вступит новая конфигурация.
О д н а к о ф а й л п о л и т и к и доверия нужно редактировать только с помощью
э л е м е н т о в у п р а в л е н и я в к о н с о л и AD FS или программных параметров с ис-
п о л ь з о в а н и е м о б ъ е к т н о й модели AD FS.
К СВЕДЕНИЮ Объектная модель AD FS
Более подробную информацию о поддержке сценариев н объектной модели AD FS
можно найти по адресу http://msiln2.microsoft.com/en-us/libmiy/ms67'l895.aspx.
П р и работе с п р о к с и – а г е и т а м и службы федерации консоль AD FS исполь-
з у е т с я д л я н а с т р о й к и с л е д у ю щ и х параметров:
• с л у ж б а ф е д е р а ц и и , с которой работает проксн-агент;
• метод сбора учетных д а н н ы х пользователей в браузерах и веб-приложениях,
п р и м е н я е м ы й прокси-агентом.
П а р а м е т р ы , о т к о н ф н г у р и р о в а и н ы е для прокси-агснтов службы федерации,
х р а н я т с я в ф а й л е Web.config аналогично параметрам сервера федерации. Но
п о с к о л ь к у п р о к с и – а г е н т с л у ж б ы федерации не содержит файл политики дове-
р и я , все его п а р а м е т р ы х р а н я т с я в ф а й л е Web.config, включая следующие:
• U R L с л у ж б ы ф е д е р а ц и и ;
• с е р т и ф и к а т п р о в е р к и подлинности клиента, с помощью которого прокси-
сервер ф е д е р а ц и и осуществляет коммуникации SSL со службами федерации;
• в е б – с т р а н и ц ы ASP.NET, поддерживающие службу.
Д л я того ч т о б ы п о д г о т о в и т ь и разместить структуру федерации удосто-
в е р е н и й в AD FS, н е о б х о д и м о т щ а т е л ь н о е планирование. Поэтому следует
у д е л и т ь в р е м я п р а к т и ч е с к и м з а н я т и я м и выполнить тщательную подготовку
в л а б о р а т о р и и , п р е ж д е чем реализовать эту технологию в производстве.
Практические занятия. Завершение настройки АО FS
В п р и в е д е н н ы х д а л е е у п р а ж н е н и я х предлагается завершить настройку AD FS,
н а ч а т у ю на з а н я т и и 1. Вам потребуются тс же компьютеры, которые исполь-
з о в а л и с ь на п р о ш л о м з а н я т и и . Н а ч н и т е с настройки сервера ITS на каждом
сервере ф е д е р а ц и и , а затем сопоставьте сертификаты серверов друг с другом и
о т к о н ф и г у р и р у й т е веб-сервер. Вы также можете создать и отконфигурировать
в е б – п р и л о ж е н и е , п о д д е р ж и в а ю щ е е утверждения. Затем отконфигурируйте
с е р в е р ы ф е д е р а ц и и д л я к а ж д о й п а р т н е р с к о й организации. Создан доверие
ф е д е р а ц и и , вы з а в е р ш и т е настройку конфигурации AD FS.
Упражнение 1. Настройка SSL для серверов и прокси-агентов федерации
Н е о б х о д и м о о т к о н ф и г у р и р о в а т ь 1 IS для требования SSL в веб-сайте Default
Web Site на серверах ф е д е р а ц и и и прокси-агептах службы федерации.
I 8 7 0 Службы федерации Active Directory
Глава 17
1 . З а п у с т и т е все серверы, в к л ю ч а я м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 , S E R -
V E R 0 4 , S E R V E R 0 5 , S E R V E R 0 6 , S E R V E R 0 7 и S E R V E R 0 8 . В о й д и т е п а
машину S E R V E R 0 3 как а д м и н и с т р а т о р д о м е и а .
Вам н е н у ж н ы у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а д о м е н а . Д л я в ы п о л н е н и я
этой задачи достаточно п р и в и л е г и й л о к а л ь н о г о а д м и н и с т р а т о р а , а у ч е т н а я
запись а д м и н и с т р а т о р а д о м е н а и с п о л ь з у е т с я в э т о м у п р а ж н е н и и д л я на-
глядности.
2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
Диспетчер служб IIS ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .
3. Разверните узел с именем сервера, о т к р о й т е п а н к у У з л ы ( S i t e s ) и в ы б е р и т е
Default Web Site.
4. На панели сведений выберите п р е д с т а в л е н и е П р о с м о т р в о з м о ж н о с т е й ( F e a -
tures), перейдите н а с е к ц и ю IIS и д в а ж д ы щ е л к н и т е к о м п о н е н т П а р а м е т р ы
SSL ( S S L Settings).
5 . Н а странице П а р а м е т р ы S S L ( S S L S e t t i n g s ) у с т а н о в и т е ф л а ж о к Т р е б о в а т ь
SSL (Require SSL).
В п р о и з в о д с т в е н н о й с р е д е т а к ж е м о ж н о т р е б о в а т ь 1 2 8 – р а з р я д н ы й S S L ,
г а р а н т и р у ю щ и й б о л е е в ы с о к и й у р о в е н ь б е з о п а с н о с т и , ч е м п а р а м е т р п о
умолчанию, о д н а к о этот п а р а м е т р у в е л и ч и в а е т н а г р у з к у п р о ц е с с о р а . Д л я
выполнения п р а к т и ч е с к и х з а н я т и й д о с т а т о ч н о п а р а м е т р а п о у м о л ч а н и ю .
6. В разделе С е р т и ф и к а т ы к л и е н т а ( C l i e n t C e r t i f i c a t e s ) в ы б е р и т е п а р а м е т р
Принимать (Accept), а з а т е м и а п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е ко-
манду Применить ( A p p l y ) .
7. Повторите эту процедуру па м а ш и н а х S E R V E R 0 4 , S E R V E R 0 7 и S E R V E R 0 8 .
Теперь все серверы A D F S о т к о н ф и г у р и р о н а н ы д л я к о м м у н и к а ц и й с ш и ф -
рованием SSL.
Упражнение 2. Экспорт и импорт сертификатов
Одним и з важнейших ф а к т о р о в у с т а н о в л е н и я п а р т н е р с к и х о т н о ш е н и й я в л я е т с я
интеграция с е р т и ф и к а т о в с каждого с е р в е р а с ц е л ы о с в я з ы в а н и я с е р в е р о в д р у г
с другом д л я о с у щ е с т в л е н и я к о м м у н и к а ц и й . П р и э т о м н е о б х о д и м о в ы п о л н и т ь
несколько задач.
• Создать о б щ и й ф а й л о в ы й ресурс, д о с т у п к к о т о р о м у м о ж е т п о л у ч а т ь к а ж -
дый сервер, чтобы у п р о с т и т ь п е р е д а ч у ф а й л о в с е р т и ф и к а т о в с о д н о г о сер-
вера на другой.
• Экспортировать в ф а й л с е р т и ф и к а т д л я п о д п и с и м а р к е р о в с с е р в е р а ф е д е -
рации о р г а н и з а ц и и учета ( S E R V E R 0 3 ) .
• Экспортировать в ф а й л с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а ф е д е -
рации в о р г а н и з а ц и и учета ( S E R V E R 0 3 ) ,
• Экспортировать в ф а й л с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а ф е д е -
рации в о р г а н и з а ц и и р е с у р с о в ( S E R V E R 0 7 ) .
• И м п о р т и р о в а т ь с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а д л я о б о и х с е р -
веров федерации.
Занятие 2
Настройка служб федерации Active Directory 871
• Э к с п о р т и р о в а т ь в ф а й л сертификат проверки подлинности клиента с прок-
с и – с е р в е р а с л у ж б ы ф е д е р а ц и и в о р г а н и з а ц и и учетных записей ( S E R -
V E R 0 4 ) .
• Э к с п о р т и р о в а т ь в ф а й л сертификат проверки подлинности клиента с прок-
с и – с е р в е р а с л у ж б ы ф е д е р а ц и и в организации ресурсов (SERVER08).
• И м п о р т и р о в а т ь с е р т и ф и к а т проверки подлинности клиента на соответс-
т в у ю щ и е с е р в е р ы фе дера ц и и .
В н а ч а л е н е о б х о д и м о создать общий файловый ресурс для храпения сер-
т и ф и к а т о в .
1. В о й д и т е на м а ш и н у S E R V E R 0 3 как администратор домеиа.
2. О т к р о й т е п р о в о д н и к W i n d o w s (Windows Explorer) и на диске С создайте
н о в у ю п а п к у Temp.
3. Щ е л к н и т е п р а в о й кнопкой м ы ш и папку Temp н выполните команду Общий
д о с т у п ( S h a r e ) .
4. В д и а л о г о в о м о к н е О б щ и й доступ к файлу (File Sharing) выберите в рас-
к р ы в а ю щ е м с я с п и с к е группу Все (Everyone), щелкните кнопку Добавить
( A d d ) и в с т о л б ц е Уровень разрешений (Permission Level) назначьте для
г р у п п ы Все у р о в е н ь Совладелец (Contributor).
5 . Щ е л к н и т е к н о п к у О б щ и й доступ (Share).
О б щ а я п а п к а готова. П р и с т у п а й т е к экспорту сертификата для подписи
м а р к е р о в б е з о п а с н о с т и .
6. В о й д и т е на м а ш и н у S E R V E R 0 3 как администратор домеиа.
7. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите
к о н с о л ь С л у ж б ы ф е д е р а ц и и Active Directory (Active Directory Federation
Services).
8. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и узел Служба федерации (Federation
Service) и в ы п о л н и т е команду Свойства (Properties). На вкладке Общие
( G e n e r a l ) щ е л к н и т е к н о п к у Просмотреть (View).
9. П е р е й д и т е па в к л а д к у С о с т а в (Details) и щелкните кнопку Копировать
в ф а й л ( C o p y То File).
10. На странице приветствия мастера экспорта сертификатов (Certificate Export
W i z a r d ) щ е л к н и т е Д а л е е (Next).
11. На странице Э к с п о р т и р о в а н и е закрытого ключа (Export Private Key) выбе-
р и т е п а р а м е т р Нет, не экспортировать закрытый ключ (No, Do Not Export
T h e P r i v a t e Key) и щ е л к н и т е Далее (Next).
Вы не экспортируете ф а й л закрытого ключа, поскольку создаете сертификат
проверки, с о с т о я щ и й т о л ь к о из открытого ключа.
12. На странице Ф о р м а т экспортируемого файла (Export File Format) выберите
ф о р м а т Ф а й л ы в DER-кодировке Х.509 (.CER) ( D E R Encoded Binary Х.509
( . C E R ) ) и щ е л к н и т е Д а л е е (Next).
13. На странице И м я экспортируемого файла (File То Export) введите С:Тетр
SERVER.03TokenSigning.cer и щелкните Далее (Next).
Службы федерации Active Directory
Глава 17
Этот с е р т и ф и к а т д л я п о д п и с и м а р к е р о в б у д е т и м п о р т и р о в а н н а S E R V E R O I ,
когда м а с т е р п а р т н е р а п о у ч е т н ы м з а п и с я м ( A c c o u n t P a r t n e r W i z a r d ) н е
т р е б у е т у к а з а т ь с е р т и ф и к а т п р о в е р к и п а р т н е р а п о у ч е т н ы м з а п и с я м (Ас
c o u n t P a r t n e r V e r i f i c a t i o n C e r t i f i c a t e ) . А ч т о б ы п о л у ч и т ь э т о т ф а й л п о сети,
п р и м е н я е т с я о б щ а я п а н к а T e m p .
14. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g The
C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к ш г п
к н о п к у Готово ( F i n i s h ) . В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е с е р т и ф и к а -
т а щ е л к н и т е О К . Д в а ж д ы щ е л к н и т е О К . ч т о б ы з а к р ы т ь д и а л о г о в о е окно
с в о й с т в с л у ж б ы ф е д е р а ц и и .
Т а к и м о б р а з о м , д л я у с п е ш н ы х к о м м у н и к а ц и й м е ж д у с е р в е р а м и ф е д е р а ц и и
( S E R V E R 0 3 и S E R V E R 0 7 ) , и х с о о т в е т с т в у ю щ и м и п р о к с и – с е р в е р а м и ф е д е р а -
ц и и ( S E R V E R 0 4 и S E R V E R 0 8 ) , а т а к ж е с в е б – с е р в е р о м ( S E R V E R 0 8 ) к а ж д ы й
сервер д о л ж е н д о в е р я т ь к о р н ю с е р в е р о в ф е д е р а ц и и . П о с к о л ь к у в д а н н о м уп-
р а ж н е н и и и с п о л ь з у ю т с я с а м о з а в е р я ю щ н е с е р т и ф и к а т ы , н у ж н о э к с п о р т и р о в а т ь
и и м п о р т и р о в а т ь к а ж д ы й и з н и х . В т а б л . 17-4, а т а к ж е н а р и с . 1 7 – 7 о п и с а н ы
с е р т и ф и к а т ы , к о т о р ы е н е о б х о д и м о э к с п о р т и р о в а т ь , а з а т е м и м п о р т и р о в а т ь .
Экспорт
ш
Импорт
contoso.com
woodgrovebank.com
Партнер по учетным записям
Партнер по ресурсам
Сертификат дл* подписи маркер ш
а
Проверка подлинности сервера г Ц
Проверка подлинности клиент» Г*У1
Рис. 17-7. Подготовка сопоставления сертификатов для AD FS
Занятие 2
Настройка служб федерации Active Directory 8 7 3
Табл. 17-4. Сопоставление сертификатов AD FS
Имя сервера Экспортируемый
Имя сертификата
Импорт
сертификат
сертификата на:
S E R V E R 0 3
П о д п и с ь маркеров
SERVER03TokenSigning.cer S E R V E R 0 7
S E R V E R 0 3
Проверка подлинности S E R V E R 0 3 S S L . c e r
S E R V E R 0 4
сервера S S L
S E R V E R 0 4
П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 4 S S L . c e r
S E R V E R 0 3
к л и е н т а S S L
S E R V E R 0 7
П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 7 S S L . c e r
S E R V E R 0 8
сервера S S L
S E R V E R 0 8
П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 8 S S L . c e r
S E R V E R 0 7
к л и е н т а S S L
У п р а ж н е н и е 3 . Э к с п о р т с е р т и ф и к а т о в с е р в е р а и к л и е н т а S S L
Н а ч а в с м а ш и н ы S E R V E R 0 3 , э к с п о р т и р у й т е с е р т и ф и к а т ы проверки подлин-
н о с т и S S L с е р в е р а и к л и е н т а в ф а й л н а к а ж д о м сервере.
1 . В о й д и т е н а м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р домена.
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n Services ( I I S ) Manager).
3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я сервера.
4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю IIS и дважды
щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r Certificates).
5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т к о р н е в о г о с е р в е р а contoso.coin и перейдите
н а в к л а д к у С о с т а в ( D e t a i l s ) .
6 . Н а в к л а д к е С о с т а в щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о File),
з а т е м Д а л е е ( N e x t ) .
7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t Private Key) выбе-
р и т е п а р а м е т р Н е т , н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч (No, D o Not Export
T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .
8 . Н а с т р а н и ц е Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File Format) выберите
ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R Encoded Binary Х.509
( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .
9 . Н а с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а . ( F i l e Т о E x p o r t ) щелкните кнопку
О б з о р ( B r o w s e ) и о т к р о й т е п а п к у C : T e m p . З а д а й т е д л я с е р т и ф и к а т а имя
S E R V E R 0 3 S S L . c e r и щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) , а з а т е м Д а л е е
( N e x t ) .
10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g T h e
C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щелкните
к н о п к у Готово ( F i n i s h ) . В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е сертификата
щ е л к н и т е О К . В н о в ь щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е окно.
29 Зак. 3399
I 8 7 4 Службы федерации Active Directory
Глава 17
Т е п е р ь п е р е й д и т е к м а ш и н е S E R V E R 0 4 и п о в т о р и т е э т у п р о ц е д у р у .
1 . В о й д и т е н а м а ш и н у S E R V E R 0 4 к а к а д м и н и с т р а т о р д о м е н а .
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e T o o l s ) з а п у с т и т е
Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .
3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я с е р в е р а .
4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю I IS и д в а ж д ы
щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r C e r t i f i c a t e s ) .
5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т Ц С в ы д а ч и C o n t o s o ( C o n t o s o – I s s u i n g – C A )
и п е р е й д и т е на в к л а д к у С о с т а в ( D e t a i l s ) .
6 . Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о F i l e ) , а з а т е м Д а л е е ( N e x t ) .
7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t P r i v a t e K e y ) в ы б е -
р и т е п а р а м е т р Нет, н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч ( N o , D o N o t E x p o r t
T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .
8 . Н а странице Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File F o r m a t ) в ы б е р и т е
ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R E n c o d e d B i n a r y Х . 5 0 9
( . C E R ) ) н щ е л к н и т е Д а л е е ( N e x t ) .
9 . Н а с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а ( F i l e Т о E x p o r t ) щ е л к н и т е к н о п к у
О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . З а д а й т е д л я
с е р т и ф и к а т а и м я S E R V E R 0 4 S S L . c e r , а з а т е м щ е л к н и т е к н о п к и С о х р а н и т ь
( S a v e ) и Д а л е е ( N e x t ) .
10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g
T h e C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л -
к н и т е к н о п к у Готово ( F i n i s h ) .
11. В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щ е л к н и т е О К . В н о в ь
щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о .
П е р е й д и т е к м а ш и н е S E R V E R 0 7 и о п я т ь п о в т о р и т е п р о ц е д у р у .
1 . В о й д и т е н а м а ш и н у S E R V E R 0 7 к а к а д м и н и с т р а т о р д о м е н а .
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e T o o l s ) з а п у с т и т е
Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .
3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я с е р в е р а .
4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю I IS и д в а ж д ы
щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r C e r t i f i c a t e s ) .
5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т S E R V E R 0 7 . W o o d g r o v e B a n k . c o m и п е р е й д и т е
н а в к л а д к у С о с т а в ( D e t a i l s ) .
6 . Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о F i l e ) , а з а т е м Д а л е е ( N e x t ) .
7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t P r i v a t e K e y ) в ы б е -
р и т е п а р а м е т р Нет, н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч ( N o , D o N o t E x p o r t
T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .
8 . Н а с т р а н и ц е Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File F o r m a t ) в ы б е р и т е
ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R E n c o d e d B i n a r y Х.509
( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .
Занятие 2
Настройка служб федерации Active Directory
8 7 5
9. На с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а (File То Export) щелкните кнопку
О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . Задайте д л я
с е р т и ф и к а т а и м я SERVER.07SSL.cer, щ е л к н и т е кнопку Сохранить (Save),
а з а т е м Д а л е е ( N e x t ) .
10. Н а с т р а н и ц е З а в е р ш е н и е мастера экспорта сертификатов (Completing The
C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е выбранные параметры и щелкните
к н о п к у Готово ( F i n i s h ) .
11. В с о о б щ е н и и об у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щ е л к н и т е О К . Вновь
щ е л к н и т е О К, ч т о б ы з а к р ы т ь диалоговое окно.
Д а л е е п е р е й д и т е к м а ш и н е S E R V E R 0 8 и повторите процедуру.
1. В о й д и т е на м а ш и н у S E R V E R 0 8 как администратор домеиа.
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
Д и с п е т ч е р с л у ж б I IS ( I n t e r n e t I n f o r m a t i o n Services ( I I S ) Manager).
3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я сервера.
4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) перейдите в секцию I IS и дважды
щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы сервера (Server Certificates).
5. Д в а ж д ы щ е л к н и т е с е р т и ф и к а т SERVER08.WoodgroveBank.com и перейдите
н а в к л а д к у С о с т а в ( D e t a i l s ) .
6. Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y То File), а затем Далее (Next).
7. На с т р а н и ц е Э к с п о р т и р о в а н и е закрытого ключа (Export Private Key) выбе-
р и т е п а р а м е т р Нет, не э к с п о р т и р о в а т ь з а к р ы т ы й ключ (No, Do Not Export
T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е (Next).
8. На с т р а н и ц е Ф о р м а т экспортируемого файла (Export File Format) выберите
ф о р м а т Ф а й л ы в D E R – к о д и р о и к е Х.509 ( . C E R ) ( D E R Encoded Binary Х.509
( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .
9. На с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а (File То Export) щелкните кнопку
О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . Задайте для
с е р т и ф и к а т а и м я S E R V E R 0 8 S S L . c e r , щ е л к н и т е кнопку Сохранить (Save),
а з а т е м Д а л е е ( N e x t ) .
10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в (Completing
T h e C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е выбранные параметры и щелк-
н и т е к н о п к у Готово ( F i n i s h ) .
11. В с о о б щ е н и и об у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щелкните ОК. Вновь
щ е л к н и т е О К, ч т о б ы з а к р ы т ь д и а л о г о в о е окно.
П о с к о л ь к у э т и с е р т и ф и к а т ы необходимо импортировать на другие серверы,
их н у ж н о с к о п и р о в а т ь в о б щ у ю папку.
1. На м а ш и н а х S E R V E R 0 4 , S E R V E R 0 7 и S E R V E R 0 8 запустите проводник
W i n d o w s ( W i n d o w s E x p l o r e r ) и откройте папку Документы (Documents),
2. Щ е л к н и т е с е р т и ф и к а т п р а в о й к н о п к о й м ы ш и и выполните команду Копи-
р о в а т ь ( С о р у ) .
3. В в е р х н е й ч а с т и окна обозревателя перейдите в адресную строку и введите
а д р е с \SERVER03.Contoso.comtemp.
I 76 Службы федерации Active Directory
Глава 17
4 . Если в ы используете д л я у ч е т н ы х з а п и с е й а д м и н и с т р а т о р о в о б о и х д о м е н о в
о д н о и м я и п а р о л ь , вам не п р и д е т с я у к а з ы в а т ь у ч е т н ы е д а н н ы е . В п р о -
тивном случае в о к н о входа в в е д и т е и м я у ч е т н о й з а п и с и а д м и н и с т р а т о р а
домена C o n t o s o и с о о т в е т с т в у ю щ и й п а р о л ь .
5. Вставьте с е р т и ф и к а т в папку.
Повторите эту п р о ц е д у р у на к а ж д о м с е р в е р е и п о м е с т и т е все с е р т и ф и к а т ы
в папку S E R V E R 0 3 . c o n t o s o . c o m t e m p .
Упражнение 4. Импорт на сервер сертификата проверки подлинности SSL
Начав с м а ш и н ы S E R V E R 0 3 , и м п о р т и р у й т е п а с е р в е р с е р т и ф и к а т п р о в е р к и
подлинности SSL.
1. Войдите на м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .
2. Перейдите в м е н ю П у с к ( S t a r t ) , в п о л е П о и с к ( S e a r c h ) в в е д и т е ттс и на-
жмите к л а в и ш у Enter.
3 . В новой консоли о т к р о й т е м е н ю К о н с о л ь ( F i l e ) , щ е л к н и т е к о м а н д у Д о -
бавить н л н у д а л и т ь о с н а с т к у ( A d d / R e m o v e S n a p – i n ) , в ы б е р и т е о с н а с т к у
С е р т и ф и к а т ы ( C e r t i f i c a t e s ) и щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
4. Выберите параметр Учетная з а п и с ь к о м п ь ю т е р а ( C o m p u t e r A c c o u n t ) и щ е л к -
ните Далее ( N e x t ) . В ы б е р и т е п а р а м е т р Л о к а л ь н ы й к о м п ь ю т е р ( L o c a l C o m -
puter), щ е л к н и т е к н о п к у Готово ( F i n i s h ) , а з а т е м О К .
5. В меню Консоль (File) щ е л к н и т е к о м а н д у С о х р а н и т ь к а к ( S a v e As), о т к р о й -
т е папку Д о к у м е н т ы ( D o c u m e n t s ) и з а д а й т е д л я к о н с о л и и м я С е р т и ф и к а т ы
компьютера.
6 . Разверните узел К о р е н ь к о н с о л и С е р т и ф и к а т ы ( л о к а л ь н ы й к о м п ы о т е р )
