355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 84)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 84 (всего у книги 91 страниц)

с о з д а т ь у т в е р ж д е н и я д л я пользователей, отконфигурировать хранилище

у ч е т н ы х з а п и с е й AD DS д л я ф е д е р а ц и и удостоверений, а затем вклю-

ч и т ь п р и л о ж е н и е с п о д д е р ж к о й утверждений.

• С о з д а т ь д о в е р и е ф е д е р а ц и и д л я в к л ю ч е н и я федерации удостоверений. Для

э т о г о т а к ж е н у ж н о в ы п о л н и т ь н е с к о л ь к о процедур.

• Э к с п о р т и р о в а т ь п о л и т и к у д о в е р и я из о р г а н и з а ц и и учетных записей

и и м п о р т и р о в а т ь ее в о р г а н и з а ц и ю ресурсов.

• В р е с у р с н о й о р г а н и з а ц и и создать и отконфигурировать сопоставление

у т в е р ж д е н и й .

• Э к с п о р т и р о в а т ь п а р т н е р с к у ю п о л и т и к у из ресурсной организации и им-

п о р т и р о в а т ь ее в о р г а н и з а ц и и у ч е т н ы х записей.

М н о г и е из э т и х о п е р а ц и й с в я з а н ы с сопоставлением сертификатов одного

с е р в е р а с е р т и ф и к а т а м другого. В а ж н о отметить возможность доступа к корням

и л и х о т я б ы в е б – с а й т а м , у п р а в л я ю щ и м списками отзыва сертификатов CRL

( C e r t i f i c a t e R e v o c a t i o n List) д л я каждого сертификата. Как описано в главе 15,

п о д л и н н о с т ь с е р т и ф и к а т а д л я ч л е н а ц е п о ч к и д о в е р и я определяется только

с п о м о щ ь ю с п и с к о в C R L . В с л у ч а е п о д д е р ж к и списков C R L для выполнения

э т о й з а д а ч и т а к ж е з а д е й с т в у е т с я с л у ж б а сетевого ответчика O C S P (Online

R e s p o n d e r ) и з A D CS.

г 8 6 8 Службы федерации Active Directory

Глава 17

В A D F S п р о в е р к а с п и с к о в C R L в к л ю ч е н а п о у м о л ч а н и ю . В о с н о в н о м

проверка C R L в ы п о л н я е т с я д л я с и г н а т у р м а р к е р о в б е з о п а с н о с т и , о д н а к о э т у

политику рекомендуется п р и м е н я т ь д л я всех ц и ф р о в ы х п о д п и с е й .

Использование AD FS и управление ими

После з а в е р ш е н и я н а с т р о й к и ф е д е р а ц и и у д о с т о в е р е н и и м о ж н о п р и с т у п а т ь

к а д м и н и с т р и р о в а н и ю и у п р а в л е н и ю с л у ж б а м и и р о л я м и с е р в е р о в AD FS

с п о м о щ ь ю к о н с о л и С л у ж б ы ф е д е р а ц и и A c t i v c D i r e c t o r y ( A c t i v e D i r e c t o r y

Federation Services) в Д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) . Д а л е е о п и с а н ы

административные задачи.

• Настройка с л у ж б ы ф е д е р а ц и и и л и ф е р м ы с е р в е р о в ф е д е р а ц и и . П о м н и т е ,

что в р а з в е р т ы в а н и е A D F S м о ж н о в к л ю ч и т ь т р и ф е р м ы с е р в е р о в :

о ф е р м у серверов ф е д е р а ц и и , в к о т о р о й о д н о й р о л ы о у п р а в л я ю т н е с к о л ь -

ко серверов;

• ф е р м у п р о к с и – с е р в е р о в с л у ж б ы ф е д е р а ц и и ;

• ф е р м у с е р в е р о в п р и л о ж е н и й , п о д д е р ж и в а ю щ и х у т в е р ж д е н и я , н а к о т о -

рых установлена р о л ь IIS.

• Управление п о л и т и к о й д о в е р и я , с в я з а н н о й с о с л у ж б о й ф е д е р а ц и и :

а а д м и н и с т р и р о в а н и е х р а н и л и щ у ч е т н ы х з а п и с е й в A D D S и л и A D

LDS;

о у п р а в л е н и е п а р т н е р а м и п о у ч е т н ы м з а п и с я м , р е с у р с а м и л и о б о и м и

т и п а м и партнеров, д о в е р я ю щ и х о р г а н и з а ц и и ;

о управление у т в е р ж д е н и я м и на с е р в е р а х ф е д е р а ц и и ;

о у п р а в л е н и е с е р т и ф и к а т а м и , к о т о р ы е и с п о л ь з у ю т с я с е р в е р а м и ф е д е -

рации;

• у п р а в л е н и е с е р т и ф и к а т а м и в в е б – п р и л о ж е н и я х с з а щ и т о й AD F S .

П о с к о л ь к у u A D F S и н т е н с и в н о п р и м е н я е т с я т е х н о л о г и я I1S, м н о г и е п а р а -

метры сервера ф е д е р а ц и и , к о н ф и г у р и р у е м ы е в у з л е С л у ж б ы ф е д е р а ц и и A c t i v e

Directory (Active Directory F e d e r a t i o n S e r v i c e s ) д и с п е т ч е р а с е р в е р а , х р а н я т с я

в ф а й л е Web.config, р а с п о л о ж е н н о м в в и р т у а л ь н о м к а т а л о г е с л у ж б ф е д е р а ц и и

в IIS. Другие п а р а м е т р ы к о н ф и г у р а ц и и х р а н я т с я в ф а й л е п о л и т и к и д о в е р и я .

Как и в случае с п а р а м е т р а м и 1IS, ф а й л W e b . c o n f i g м о ж н о с в о б о д н о р е д а к т и -

ровать н а п р я м у ю , п о с к о л ь к у это всего л и ш ь т е к с т о в ы й ф а й л . Д а л е е у к а з а н ы

параметры, к о т о р ы м и м о ж н о у п р а в л я т ь с п о м о щ ь ю ф а й л а W e b . c o n f i g :

* путь к ф а й л у п о л и т и к и д о в е р и я ;

* л о к а л ь н ы й с е р т и ф и к а т д л я п о д п и с и м а р к е р о в ;

* расположение в е б – с т р а н и ц ASP.NET, п о д д е р ж и в а ю щ и х с л у ж б у ;

ш уровень в е д е н и я ж у р н а л а о т л а д к и д л я с л у ж б ы , а т а к ж е п у т ь к каталогу!

ф а й л о в журнала;

• возможность контроля т и п а доступа, н а п р и м е р а н о н и м н о г о д о с т у п а , с целью

группирования у т в е р ж д е н и й , п р и г о т о в л е н н ы х д л я о р г а н и з а ц и и .

Занятие 2

Настройка служб федерации Active Directory 8 6 9

В процессе р е д а к т и р о в а н и я ф а й л Web.config можно публиковать на других

серверах, д л я к о т о р ы х необходимы такие же параметры конфигурации. После

сброса с т а р ы х п а р а м е т р о в I1S в силу вступит новая конфигурация.

О д н а к о ф а й л п о л и т и к и доверия нужно редактировать только с помощью

э л е м е н т о в у п р а в л е н и я в к о н с о л и AD FS или программных параметров с ис-

п о л ь з о в а н и е м о б ъ е к т н о й модели AD FS.

К СВЕДЕНИЮ Объектная модель AD FS

Более подробную информацию о поддержке сценариев н объектной модели AD FS

можно найти по адресу http://msiln2.microsoft.com/en-us/libmiy/ms67'l895.aspx.

П р и работе с п р о к с и – а г е и т а м и службы федерации консоль AD FS исполь-

з у е т с я д л я н а с т р о й к и с л е д у ю щ и х параметров:

• с л у ж б а ф е д е р а ц и и , с которой работает проксн-агент;

• метод сбора учетных д а н н ы х пользователей в браузерах и веб-приложениях,

п р и м е н я е м ы й прокси-агентом.

П а р а м е т р ы , о т к о н ф н г у р и р о в а и н ы е для прокси-агснтов службы федерации,

х р а н я т с я в ф а й л е Web.config аналогично параметрам сервера федерации. Но

п о с к о л ь к у п р о к с и – а г е н т с л у ж б ы федерации не содержит файл политики дове-

р и я , все его п а р а м е т р ы х р а н я т с я в ф а й л е Web.config, включая следующие:

• U R L с л у ж б ы ф е д е р а ц и и ;

• с е р т и ф и к а т п р о в е р к и подлинности клиента, с помощью которого прокси-

сервер ф е д е р а ц и и осуществляет коммуникации SSL со службами федерации;

• в е б – с т р а н и ц ы ASP.NET, поддерживающие службу.

Д л я того ч т о б ы п о д г о т о в и т ь и разместить структуру федерации удосто-

в е р е н и й в AD FS, н е о б х о д и м о т щ а т е л ь н о е планирование. Поэтому следует

у д е л и т ь в р е м я п р а к т и ч е с к и м з а н я т и я м и выполнить тщательную подготовку

в л а б о р а т о р и и , п р е ж д е чем реализовать эту технологию в производстве.

Практические занятия. Завершение настройки АО FS

В п р и в е д е н н ы х д а л е е у п р а ж н е н и я х предлагается завершить настройку AD FS,

н а ч а т у ю на з а н я т и и 1. Вам потребуются тс же компьютеры, которые исполь-

з о в а л и с ь на п р о ш л о м з а н я т и и . Н а ч н и т е с настройки сервера ITS на каждом

сервере ф е д е р а ц и и , а затем сопоставьте сертификаты серверов друг с другом и

о т к о н ф и г у р и р у й т е веб-сервер. Вы также можете создать и отконфигурировать

в е б – п р и л о ж е н и е , п о д д е р ж и в а ю щ е е утверждения. Затем отконфигурируйте

с е р в е р ы ф е д е р а ц и и д л я к а ж д о й п а р т н е р с к о й организации. Создан доверие

ф е д е р а ц и и , вы з а в е р ш и т е настройку конфигурации AD FS.

Упражнение 1. Настройка SSL для серверов и прокси-агентов федерации

Н е о б х о д и м о о т к о н ф и г у р и р о в а т ь 1 IS для требования SSL в веб-сайте Default

Web Site на серверах ф е д е р а ц и и и прокси-агептах службы федерации.

I 8 7 0 Службы федерации Active Directory

Глава 17

1 . З а п у с т и т е все серверы, в к л ю ч а я м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 , S E R -

V E R 0 4 , S E R V E R 0 5 , S E R V E R 0 6 , S E R V E R 0 7 и S E R V E R 0 8 . В о й д и т е п а

машину S E R V E R 0 3 как а д м и н и с т р а т о р д о м е и а .

Вам н е н у ж н ы у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а д о м е н а . Д л я в ы п о л н е н и я

этой задачи достаточно п р и в и л е г и й л о к а л ь н о г о а д м и н и с т р а т о р а , а у ч е т н а я

запись а д м и н и с т р а т о р а д о м е н а и с п о л ь з у е т с я в э т о м у п р а ж н е н и и д л я на-

глядности.

2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е

Диспетчер служб IIS ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .

3. Разверните узел с именем сервера, о т к р о й т е п а н к у У з л ы ( S i t e s ) и в ы б е р и т е

Default Web Site.

4. На панели сведений выберите п р е д с т а в л е н и е П р о с м о т р в о з м о ж н о с т е й ( F e a -

tures), перейдите н а с е к ц и ю IIS и д в а ж д ы щ е л к н и т е к о м п о н е н т П а р а м е т р ы

SSL ( S S L Settings).

5 . Н а странице П а р а м е т р ы S S L ( S S L S e t t i n g s ) у с т а н о в и т е ф л а ж о к Т р е б о в а т ь

SSL (Require SSL).

В п р о и з в о д с т в е н н о й с р е д е т а к ж е м о ж н о т р е б о в а т ь 1 2 8 – р а з р я д н ы й S S L ,

г а р а н т и р у ю щ и й б о л е е в ы с о к и й у р о в е н ь б е з о п а с н о с т и , ч е м п а р а м е т р п о

умолчанию, о д н а к о этот п а р а м е т р у в е л и ч и в а е т н а г р у з к у п р о ц е с с о р а . Д л я

выполнения п р а к т и ч е с к и х з а н я т и й д о с т а т о ч н о п а р а м е т р а п о у м о л ч а н и ю .

6. В разделе С е р т и ф и к а т ы к л и е н т а ( C l i e n t C e r t i f i c a t e s ) в ы б е р и т е п а р а м е т р

Принимать (Accept), а з а т е м и а п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е ко-

манду Применить ( A p p l y ) .

7. Повторите эту процедуру па м а ш и н а х S E R V E R 0 4 , S E R V E R 0 7 и S E R V E R 0 8 .

Теперь все серверы A D F S о т к о н ф и г у р и р о н а н ы д л я к о м м у н и к а ц и й с ш и ф -

рованием SSL.

Упражнение 2. Экспорт и импорт сертификатов

Одним и з важнейших ф а к т о р о в у с т а н о в л е н и я п а р т н е р с к и х о т н о ш е н и й я в л я е т с я

интеграция с е р т и ф и к а т о в с каждого с е р в е р а с ц е л ы о с в я з ы в а н и я с е р в е р о в д р у г

с другом д л я о с у щ е с т в л е н и я к о м м у н и к а ц и й . П р и э т о м н е о б х о д и м о в ы п о л н и т ь

несколько задач.

• Создать о б щ и й ф а й л о в ы й ресурс, д о с т у п к к о т о р о м у м о ж е т п о л у ч а т ь к а ж -

дый сервер, чтобы у п р о с т и т ь п е р е д а ч у ф а й л о в с е р т и ф и к а т о в с о д н о г о сер-

вера на другой.

• Экспортировать в ф а й л с е р т и ф и к а т д л я п о д п и с и м а р к е р о в с с е р в е р а ф е д е -

рации о р г а н и з а ц и и учета ( S E R V E R 0 3 ) .

• Экспортировать в ф а й л с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а ф е д е -

рации в о р г а н и з а ц и и учета ( S E R V E R 0 3 ) ,

• Экспортировать в ф а й л с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а ф е д е -

рации в о р г а н и з а ц и и р е с у р с о в ( S E R V E R 0 7 ) .

• И м п о р т и р о в а т ь с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а д л я о б о и х с е р -

веров федерации.

Занятие 2

Настройка служб федерации Active Directory 871

• Э к с п о р т и р о в а т ь в ф а й л сертификат проверки подлинности клиента с прок-

с и – с е р в е р а с л у ж б ы ф е д е р а ц и и в о р г а н и з а ц и и учетных записей ( S E R -

V E R 0 4 ) .

• Э к с п о р т и р о в а т ь в ф а й л сертификат проверки подлинности клиента с прок-

с и – с е р в е р а с л у ж б ы ф е д е р а ц и и в организации ресурсов (SERVER08).

• И м п о р т и р о в а т ь с е р т и ф и к а т проверки подлинности клиента на соответс-

т в у ю щ и е с е р в е р ы фе дера ц и и .

В н а ч а л е н е о б х о д и м о создать общий файловый ресурс для храпения сер-

т и ф и к а т о в .

1. В о й д и т е на м а ш и н у S E R V E R 0 3 как администратор домеиа.

2. О т к р о й т е п р о в о д н и к W i n d o w s (Windows Explorer) и на диске С создайте

н о в у ю п а п к у Temp.

3. Щ е л к н и т е п р а в о й кнопкой м ы ш и папку Temp н выполните команду Общий

д о с т у п ( S h a r e ) .

4. В д и а л о г о в о м о к н е О б щ и й доступ к файлу (File Sharing) выберите в рас-

к р ы в а ю щ е м с я с п и с к е группу Все (Everyone), щелкните кнопку Добавить

( A d d ) и в с т о л б ц е Уровень разрешений (Permission Level) назначьте для

г р у п п ы Все у р о в е н ь Совладелец (Contributor).

5 . Щ е л к н и т е к н о п к у О б щ и й доступ (Share).

О б щ а я п а п к а готова. П р и с т у п а й т е к экспорту сертификата для подписи

м а р к е р о в б е з о п а с н о с т и .

6. В о й д и т е на м а ш и н у S E R V E R 0 3 как администратор домеиа.

7. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите

к о н с о л ь С л у ж б ы ф е д е р а ц и и Active Directory (Active Directory Federation

Services).

8. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и узел Служба федерации (Federation

Service) и в ы п о л н и т е команду Свойства (Properties). На вкладке Общие

( G e n e r a l ) щ е л к н и т е к н о п к у Просмотреть (View).

9. П е р е й д и т е па в к л а д к у С о с т а в (Details) и щелкните кнопку Копировать

в ф а й л ( C o p y То File).

10. На странице приветствия мастера экспорта сертификатов (Certificate Export

W i z a r d ) щ е л к н и т е Д а л е е (Next).

11. На странице Э к с п о р т и р о в а н и е закрытого ключа (Export Private Key) выбе-

р и т е п а р а м е т р Нет, не экспортировать закрытый ключ (No, Do Not Export

T h e P r i v a t e Key) и щ е л к н и т е Далее (Next).

Вы не экспортируете ф а й л закрытого ключа, поскольку создаете сертификат

проверки, с о с т о я щ и й т о л ь к о из открытого ключа.

12. На странице Ф о р м а т экспортируемого файла (Export File Format) выберите

ф о р м а т Ф а й л ы в DER-кодировке Х.509 (.CER) ( D E R Encoded Binary Х.509

( . C E R ) ) и щ е л к н и т е Д а л е е (Next).

13. На странице И м я экспортируемого файла (File То Export) введите С:Тетр

SERVER.03TokenSigning.cer и щелкните Далее (Next).

Службы федерации Active Directory

Глава 17

Этот с е р т и ф и к а т д л я п о д п и с и м а р к е р о в б у д е т и м п о р т и р о в а н н а S E R V E R O I ,

когда м а с т е р п а р т н е р а п о у ч е т н ы м з а п и с я м ( A c c o u n t P a r t n e r W i z a r d ) н е

т р е б у е т у к а з а т ь с е р т и ф и к а т п р о в е р к и п а р т н е р а п о у ч е т н ы м з а п и с я м (Ас

c o u n t P a r t n e r V e r i f i c a t i o n C e r t i f i c a t e ) . А ч т о б ы п о л у ч и т ь э т о т ф а й л п о сети,

п р и м е н я е т с я о б щ а я п а н к а T e m p .

14. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g The

C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к ш г п

к н о п к у Готово ( F i n i s h ) . В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е с е р т и ф и к а -

т а щ е л к н и т е О К . Д в а ж д ы щ е л к н и т е О К . ч т о б ы з а к р ы т ь д и а л о г о в о е окно

с в о й с т в с л у ж б ы ф е д е р а ц и и .

Т а к и м о б р а з о м , д л я у с п е ш н ы х к о м м у н и к а ц и й м е ж д у с е р в е р а м и ф е д е р а ц и и

( S E R V E R 0 3 и S E R V E R 0 7 ) , и х с о о т в е т с т в у ю щ и м и п р о к с и – с е р в е р а м и ф е д е р а -

ц и и ( S E R V E R 0 4 и S E R V E R 0 8 ) , а т а к ж е с в е б – с е р в е р о м ( S E R V E R 0 8 ) к а ж д ы й

сервер д о л ж е н д о в е р я т ь к о р н ю с е р в е р о в ф е д е р а ц и и . П о с к о л ь к у в д а н н о м уп-

р а ж н е н и и и с п о л ь з у ю т с я с а м о з а в е р я ю щ н е с е р т и ф и к а т ы , н у ж н о э к с п о р т и р о в а т ь

и и м п о р т и р о в а т ь к а ж д ы й и з н и х . В т а б л . 17-4, а т а к ж е н а р и с . 1 7 – 7 о п и с а н ы

с е р т и ф и к а т ы , к о т о р ы е н е о б х о д и м о э к с п о р т и р о в а т ь , а з а т е м и м п о р т и р о в а т ь .

Экспорт

ш

Импорт

contoso.com

woodgrovebank.com

Партнер по учетным записям

Партнер по ресурсам

Сертификат дл* подписи маркер ш

а

Проверка подлинности сервера г Ц

Проверка подлинности клиент» Г*У1

Рис. 17-7. Подготовка сопоставления сертификатов для AD FS

Занятие 2

Настройка служб федерации Active Directory 8 7 3

Табл. 17-4. Сопоставление сертификатов AD FS

Имя сервера Экспортируемый

Имя сертификата

Импорт

сертификат

сертификата на:

S E R V E R 0 3

П о д п и с ь маркеров

SERVER03TokenSigning.cer S E R V E R 0 7

S E R V E R 0 3

Проверка подлинности S E R V E R 0 3 S S L . c e r

S E R V E R 0 4

сервера S S L

S E R V E R 0 4

П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 4 S S L . c e r

S E R V E R 0 3

к л и е н т а S S L

S E R V E R 0 7

П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 7 S S L . c e r

S E R V E R 0 8

сервера S S L

S E R V E R 0 8

П р о в е р к а ПОДЛИННОСТИ S E R V E R 0 8 S S L . c e r

S E R V E R 0 7

к л и е н т а S S L

У п р а ж н е н и е 3 . Э к с п о р т с е р т и ф и к а т о в с е р в е р а и к л и е н т а S S L

Н а ч а в с м а ш и н ы S E R V E R 0 3 , э к с п о р т и р у й т е с е р т и ф и к а т ы проверки подлин-

н о с т и S S L с е р в е р а и к л и е н т а в ф а й л н а к а ж д о м сервере.

1 . В о й д и т е н а м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р домена.

2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите

Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n Services ( I I S ) Manager).

3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я сервера.

4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю IIS и дважды

щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r Certificates).

5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т к о р н е в о г о с е р в е р а contoso.coin и перейдите

н а в к л а д к у С о с т а в ( D e t a i l s ) .

6 . Н а в к л а д к е С о с т а в щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о File),

з а т е м Д а л е е ( N e x t ) .

7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t Private Key) выбе-

р и т е п а р а м е т р Н е т , н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч (No, D o Not Export

T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .

8 . Н а с т р а н и ц е Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File Format) выберите

ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R Encoded Binary Х.509

( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .

9 . Н а с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а . ( F i l e Т о E x p o r t ) щелкните кнопку

О б з о р ( B r o w s e ) и о т к р о й т е п а п к у C : T e m p . З а д а й т е д л я с е р т и ф и к а т а имя

S E R V E R 0 3 S S L . c e r и щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) , а з а т е м Д а л е е

( N e x t ) .

10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g T h e

C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щелкните

к н о п к у Готово ( F i n i s h ) . В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е сертификата

щ е л к н и т е О К . В н о в ь щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е окно.

29 Зак. 3399

I 8 7 4 Службы федерации Active Directory

Глава 17

Т е п е р ь п е р е й д и т е к м а ш и н е S E R V E R 0 4 и п о в т о р и т е э т у п р о ц е д у р у .

1 . В о й д и т е н а м а ш и н у S E R V E R 0 4 к а к а д м и н и с т р а т о р д о м е н а .

2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e T o o l s ) з а п у с т и т е

Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .

3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я с е р в е р а .

4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю I IS и д в а ж д ы

щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r C e r t i f i c a t e s ) .

5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т Ц С в ы д а ч и C o n t o s o ( C o n t o s o – I s s u i n g – C A )

и п е р е й д и т е на в к л а д к у С о с т а в ( D e t a i l s ) .

6 . Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о F i l e ) , а з а т е м Д а л е е ( N e x t ) .

7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t P r i v a t e K e y ) в ы б е -

р и т е п а р а м е т р Нет, н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч ( N o , D o N o t E x p o r t

T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .

8 . Н а странице Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File F o r m a t ) в ы б е р и т е

ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R E n c o d e d B i n a r y Х . 5 0 9

( . C E R ) ) н щ е л к н и т е Д а л е е ( N e x t ) .

9 . Н а с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а ( F i l e Т о E x p o r t ) щ е л к н и т е к н о п к у

О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . З а д а й т е д л я

с е р т и ф и к а т а и м я S E R V E R 0 4 S S L . c e r , а з а т е м щ е л к н и т е к н о п к и С о х р а н и т ь

( S a v e ) и Д а л е е ( N e x t ) .

10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g

T h e C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л -

к н и т е к н о п к у Готово ( F i n i s h ) .

11. В с о о б щ е н и и о б у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щ е л к н и т е О К . В н о в ь

щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о .

П е р е й д и т е к м а ш и н е S E R V E R 0 7 и о п я т ь п о в т о р и т е п р о ц е д у р у .

1 . В о й д и т е н а м а ш и н у S E R V E R 0 7 к а к а д м и н и с т р а т о р д о м е н а .

2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e T o o l s ) з а п у с т и т е

Д и с п е т ч е р с л у ж б I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ( I I S ) M a n a g e r ) .

3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я с е р в е р а .

4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) п е р е й д и т е в с е к ц и ю I IS и д в а ж д ы

щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы с е р в е р а ( S e r v e r C e r t i f i c a t e s ) .

5 . Д в а ж д ы щ е л к н и т е с е р т и ф и к а т S E R V E R 0 7 . W o o d g r o v e B a n k . c o m и п е р е й д и т е

н а в к л а д к у С о с т а в ( D e t a i l s ) .

6 . Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y Т о F i l e ) , а з а т е м Д а л е е ( N e x t ) .

7 . Н а с т р а н и ц е Э к с п о р т и р о в а н и е з а к р ы т о г о к л ю ч а ( E x p o r t P r i v a t e K e y ) в ы б е -

р и т е п а р а м е т р Нет, н е э к с п о р т и р о в а т ь з а к р ы т ы й к л ю ч ( N o , D o N o t E x p o r t

T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е ( N e x t ) .

8 . Н а с т р а н и ц е Ф о р м а т э к с п о р т и р у е м о г о ф а й л а ( E x p o r t File F o r m a t ) в ы б е р и т е

ф о р м а т Ф а й л ы в D E R – к о д и р о в к е Х . 5 0 9 ( . C E R ) ( D E R E n c o d e d B i n a r y Х.509

( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .

Занятие 2

Настройка служб федерации Active Directory

8 7 5

9. На с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а (File То Export) щелкните кнопку

О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . Задайте д л я

с е р т и ф и к а т а и м я SERVER.07SSL.cer, щ е л к н и т е кнопку Сохранить (Save),

а з а т е м Д а л е е ( N e x t ) .

10. Н а с т р а н и ц е З а в е р ш е н и е мастера экспорта сертификатов (Completing The

C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е выбранные параметры и щелкните

к н о п к у Готово ( F i n i s h ) .

11. В с о о б щ е н и и об у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щ е л к н и т е О К . Вновь

щ е л к н и т е О К, ч т о б ы з а к р ы т ь диалоговое окно.

Д а л е е п е р е й д и т е к м а ш и н е S E R V E R 0 8 и повторите процедуру.

1. В о й д и т е на м а ш и н у S E R V E R 0 8 как администратор домеиа.

2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите

Д и с п е т ч е р с л у ж б I IS ( I n t e r n e t I n f o r m a t i o n Services ( I I S ) Manager).

3 . Н а п а н е л и с в е д е н и й щ е л к н и т е и м я сервера.

4. В п р е д с т а в л е н и и В о з м о ж н о с т и ( F e a t u r e s ) перейдите в секцию I IS и дважды

щ е л к н и т е к о м п о н е н т С е р т и ф и к а т ы сервера (Server Certificates).

5. Д в а ж д ы щ е л к н и т е с е р т и ф и к а т SERVER08.WoodgroveBank.com и перейдите

н а в к л а д к у С о с т а в ( D e t a i l s ) .

6. Щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y То File), а затем Далее (Next).

7. На с т р а н и ц е Э к с п о р т и р о в а н и е закрытого ключа (Export Private Key) выбе-

р и т е п а р а м е т р Нет, не э к с п о р т и р о в а т ь з а к р ы т ы й ключ (No, Do Not Export

T h e P r i v a t e K e y ) и щ е л к н и т е Д а л е е (Next).

8. На с т р а н и ц е Ф о р м а т экспортируемого файла (Export File Format) выберите

ф о р м а т Ф а й л ы в D E R – к о д и р о и к е Х.509 ( . C E R ) ( D E R Encoded Binary Х.509

( . C E R ) ) и щ е л к н и т е Д а л е е ( N e x t ) .

9. На с т р а н и ц е И м я э к с п о р т и р у е м о г о ф а й л а (File То Export) щелкните кнопку

О б з о р ( B r o w s e ) и о т к р о й т е п а п к у Д о к у м е н т ы ( D o c u m e n t s ) . Задайте для

с е р т и ф и к а т а и м я S E R V E R 0 8 S S L . c e r , щ е л к н и т е кнопку Сохранить (Save),

а з а т е м Д а л е е ( N e x t ) .

10. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а э к с п о р т а с е р т и ф и к а т о в (Completing

T h e C e r t i f i c a t e E x p o r t W i z a r d ) п р о с м о т р и т е выбранные параметры и щелк-

н и т е к н о п к у Готово ( F i n i s h ) .

11. В с о о б щ е н и и об у с п е ш н о м э к с п о р т е с е р т и ф и к а т а щелкните ОК. Вновь

щ е л к н и т е О К, ч т о б ы з а к р ы т ь д и а л о г о в о е окно.

П о с к о л ь к у э т и с е р т и ф и к а т ы необходимо импортировать на другие серверы,

их н у ж н о с к о п и р о в а т ь в о б щ у ю папку.

1. На м а ш и н а х S E R V E R 0 4 , S E R V E R 0 7 и S E R V E R 0 8 запустите проводник

W i n d o w s ( W i n d o w s E x p l o r e r ) и откройте папку Документы (Documents),

2. Щ е л к н и т е с е р т и ф и к а т п р а в о й к н о п к о й м ы ш и и выполните команду Копи-

р о в а т ь ( С о р у ) .

3. В в е р х н е й ч а с т и окна обозревателя перейдите в адресную строку и введите

а д р е с \SERVER03.Contoso.comtemp.

I 76 Службы федерации Active Directory

Глава 17

4 . Если в ы используете д л я у ч е т н ы х з а п и с е й а д м и н и с т р а т о р о в о б о и х д о м е н о в

о д н о и м я и п а р о л ь , вам не п р и д е т с я у к а з ы в а т ь у ч е т н ы е д а н н ы е . В п р о -

тивном случае в о к н о входа в в е д и т е и м я у ч е т н о й з а п и с и а д м и н и с т р а т о р а

домена C o n t o s o и с о о т в е т с т в у ю щ и й п а р о л ь .

5. Вставьте с е р т и ф и к а т в папку.

Повторите эту п р о ц е д у р у на к а ж д о м с е р в е р е и п о м е с т и т е все с е р т и ф и к а т ы

в папку S E R V E R 0 3 . c o n t o s o . c o m t e m p .

Упражнение 4. Импорт на сервер сертификата проверки подлинности SSL

Начав с м а ш и н ы S E R V E R 0 3 , и м п о р т и р у й т е п а с е р в е р с е р т и ф и к а т п р о в е р к и

подлинности SSL.

1. Войдите на м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .

2. Перейдите в м е н ю П у с к ( S t a r t ) , в п о л е П о и с к ( S e a r c h ) в в е д и т е ттс и на-

жмите к л а в и ш у Enter.

3 . В новой консоли о т к р о й т е м е н ю К о н с о л ь ( F i l e ) , щ е л к н и т е к о м а н д у Д о -

бавить н л н у д а л и т ь о с н а с т к у ( A d d / R e m o v e S n a p – i n ) , в ы б е р и т е о с н а с т к у

С е р т и ф и к а т ы ( C e r t i f i c a t e s ) и щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

4. Выберите параметр Учетная з а п и с ь к о м п ь ю т е р а ( C o m p u t e r A c c o u n t ) и щ е л к -

ните Далее ( N e x t ) . В ы б е р и т е п а р а м е т р Л о к а л ь н ы й к о м п ь ю т е р ( L o c a l C o m -

puter), щ е л к н и т е к н о п к у Готово ( F i n i s h ) , а з а т е м О К .

5. В меню Консоль (File) щ е л к н и т е к о м а н д у С о х р а н и т ь к а к ( S a v e As), о т к р о й -

т е папку Д о к у м е н т ы ( D o c u m e n t s ) и з а д а й т е д л я к о н с о л и и м я С е р т и ф и к а т ы

компьютера.

6 . Разверните узел К о р е н ь к о н с о л и С е р т и ф и к а т ы ( л о к а л ь н ы й к о м п ы о т е р )


    Ваша оценка произведения:

Популярные книги за неделю