Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 85 (всего у книги 91 страниц)
Д о в е р е н н ы е к о р н е в ы е ц е н т р ы с е р т и ф и к а ц и и ( C o n s o l e R o o t C e r t i f i c a t e s
(Local C o m p u t e r ) T r u s t e d R o o t C e r t i f i c a t i o n A u t h o r i t i e s ) .
7 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Д о в е р е н н ы е к о р н е в ы е ц е н т р ы
сертификации ( T r u s t e d Root C e r t i f i c a t i o n A u t h o r i t i e s ) , в ы б е р и т е Все з а д а ч и
(All Tasks) и щ е л к н и т е з а д а ч у И м п о р т ( I m p o r t ) .
8 . Н а странице п р и в е т с т в и я мастера и м п о р т а с е р т и ф и к а т о в ( C e r t i f i c a t e I m p o r t
Wizard) щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
9 . П а странице И м п о р т и р у е м ы й ф а й л (File Т о I m p o r t ) щ е л к н и т е к н о п к у О б з о р
(Browse) и о т к р о й т е п а п к у C : T e m p .
10. Выберите с е р т и ф и к а т S E R V E R 0 4 S S L . c e r д л я м а ш и н ы S E R V E R 0 4 , щ е л к -
ните кнопку О т к р ы т ь ( O p e n ) , а з а т е м Д а л е е ( N e x t ) .
11. И а странице Х р а н и л и щ е с е р т и ф и к а т о в ( C e r t i f i c a t e S t o r e ) в ы б е р и т е п а р а -
метр Поместить все с е р т и ф и к а т ы в с л е д у ю щ е е х р а н и л и щ е ( P l a c e All Certifi-
cates In T h e Following S t o r e ) , убедитесь, ч т о в к а ч е с т в е х р а н и л и щ а в ы б р а н ы
Д о в е р е н н ы е к о р н е в ы е ц е н т р ы с е р т и ф и к а ц и и ( T r u s t e d R o o t C e r t i f i c a t i o n
Authorities) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
12. Н а с т р а н и ц е З а в е р ш е н и е м а с т е р а и м п о р т а с е р т и ф и к а т о в ( C o m p l e t i n g
T h e Certificate I m p o r t W i z a r d ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щел-
кните кнопку Готово ( F i n i s h ) . Щ е л к н и т е О К , ч т о б ы з а к р ы т ь с о о б щ е н и е о б
успешном импорте с е р т и ф и к а т а .
Занятие 2
Настройка служб федерации Active Directory 877
П о в т о р и т е эти процедуры и импортируйте каждый сертификат. В табл. 17-4
п е р е ч и с л е н ы с е р т и ф и к а т ы , к о т о р ы е необходимо импортировать. Чтобы
п о л у ч и т ь с е р т и ф и к а т ы для остальных серверов, используйте общую папку
Temp на м а ш и н е S E R V E R 0 3 . Сопоставление сертификатов готово.
Упражнение 5. Настройка веб-сервера
Ч т о б ы у с т а н о в и т ь на веб-сервере приложение, поддерживающее утвержде-
н и я , н е о б х о д и м о о т к о н ф и г у р и р о в а т ь IIS и создать приложение с поддержкой
у т в е р ж д е н и й . Д л я этого в ы п о л н и т е следующие операции.
1. З а п у с т и т е м а ш и н ы S E R V E R 0 6 и S E R V E R 0 8 . Войдите на машину SER-
V E R 0 8 как а д м и н и с т р а т о р домена.
Вам не н у ж н ы у ч е т н ы е д а н н ы е администратора домена. Для выполнения
э т о й з а д а ч и д о с т а т о ч н о п р и в и л е г и й локального администратора, а учетная
з а п и с ь а д м и н и с т р а т о р а домена используется в этом упражнении для на-
г л я д н о с т и .
2. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите
Д и с п е т ч е р с л у ж б IIS ( I n t e r n e t Information Services (IIS) Manager).
3. Р а з в е р н и т е у з е л с и м е н е м сервера, откройте папку Узлы (Sites) и выберите
D e f a u l t W e b Site.
4. На п а н е л и Д е й с т в и я ( A c t i o n s ) в секции Изменение узла (Edit Site) щелк-
н и т е к о м а н д у П р и в я з к и (Bindings).
5. В д и а л о г о в о м о к н е П р и в я з к и у з л а (Site Bindings) выберите привязку
H T T P S и щ е л к н и т е к н о п к у Изменить (Edit).
6. Убедитесь, что с е р т и ф и к а т SERVER08.WoodgroveBank.com привязан к пор-
ту 443. В п р о т и в н о м случае выберите его и щелкните ОК.
7. Щ е л к н и т е к н о п к у З а к р ы т ь (Close), чтобы закрыть диалоговое окно при-
в я з о к узла.
8. На ц е н т р а л ь н о й п а н е л и выберите представление Возможности (Features)
и в с е к ц и и IIS д в а ж д ы щ е л к н и т е компонент Параметры SSL (SSL Settings).
9. У б е д и т е с ь , ч т о в п а р а м е т р а х требуется шифрование SSL и задан прием
к л и е н т с к и х сертификатов. В противном случае измените соответствующим
о б р а з о м п а р а м е т р ы и щ е л к н и т е команду Применить (Apply).
10. На п а н е л и д е р е в а д в а ж д ы щ е л к н и т е Default Web Site, чтобы вернуться
к п р е д с т а в л е н и ю В о з м о ж н о с т и (Features).
Д л я с о з д а н и я п р и л о ж е н и я , поддерживающего утверждения, выполните
с л е д у ю щ и е д е й с т в и я .
1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и Default Web Site и выполните команду
Д о б а в и т ь п р и л о ж е н и е (Add Application).
2. В д и а л о г о в о м о к н е Д о б а в л е н и е п р и л о ж е н и я (Add Application) введите
в поле П с е в д о н и м (Alias) и м я claimapplicationOI.
3. Щ е л к н и т е к н о п к у Выбрать (Select), в раскрывающемся списке выберите
пул п р и л о ж е н и й Classic .NET AppPool и щелкните ОК.
4. С п р а в а от п о л я Ф и з и ч е с к и й путь (Physical Path) щелкните кнопку с тро-
еточием и выберите папку C : i n e t p u b w w w r o o t .
I 8 7 8 Службы федерации Active Directory Глава 17
5. Щелкните кнопку С о з д а т ь п а п к у ( M a k e A N e w F o l d e r ) , в в е д и т е д л я н о в о й
папки нмя claimapplicationOI, щ е л к н и т е О К . В н о в ь щ е л к н и т е О К , чтобы
закрыть диалоговое окно.
П р и л о ж е н и е создано, о д н а к о о н о п у с т о е . В п р а к т и ч е с к и х у п р а ж н е н и я х
данного занятия н е требуется с о з д а в а т ь р е а л ь н о е п р и л о ж е н и е . О д н а к о п р и
желании вы можете создать его.
К СВЕДЕНИЮ Создание приложения, поддерживающего утверждения
Для того чтобы создать три файла, которые составляют приложение, поддерживаю-
щее утверждения, используйте процедуру «Creating the Sample Claims-aware Appli-
cation» – ее вы найдете по адресу http://207.46.196.1U/windowsserver2008/en/library/
5ae6ce09-4494-480b-8816-8897bde359491033.mspx. Затем скопируйте созданные файлы
в папку C:InetpubWwwrootClaimapp.
Упражнение 6. Настройка серверов федерации
Оба сервера федерации необходимо с о о т в е т с т в у ю щ и м о б р а з о м о т к о н ф и г у р и р о -
вать. На сервере федерации учета S E R V E R 0 3 н е о б х о д и м о о т к о н ф и г у р и р о в а т ь
политику доверия. Кроме того, н у ж н о создать у т в е р ж д е н и я д л я п о л ь з о в а т е л е й
и идентифицировать х р а н и л и щ е у ч е т н ы х з а п и с е й A D D S . Н а с е р в е р е ф е д е р а -
ции ресурсов S E R V E R 0 7 н у ж н о н а с т р о и т ь п о л и т и к у д о в е р и я , у т в е р ж д е н и я
для пользователей в домене ресурсов, х р а н и л и щ е у ч е т н ы х з а п и с е й и в к л ю ч и т ь
приложения, п о д д е р ж и в а ю щ и е у т в е р ж д е н и я .
1. Запустите машины S E R V E R 0 1 , S E R V E R 0 3 , S E R V E R 0 6 и S E R V E R 0 7 . Вой-
дите на машину S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .
В данном случае учетные д а н н ы е а д м и н и с т р а т о р а д о м е н а н е о б х о д и м ы д л я
идентификации х р а н и л и щ а у ч е т н ы х з а п и с е й .
2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
консоль Службы ф е д е р а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n
Services).
3. Разверните узел С л у ж б а ф е д е р а ц и и Г 1 о л и т и к а д о в е р и я ( F e d e r a t i o n Ser-
viceTrust Policy).
4. Щелкните правой кнопкой м ы ш и п о л и т и к у д о в е р и я и в ы п о л н и т е к о м а н д у
Свойства (Properties).
5. На вкладке Общие ( G e n e r a l ) в в е д и т е в п о л е U R I – к о д с л у ж б ы ф е д е р а ц и и /
(Federation Service U R I ) код urn:/ederation:Contoso.
Значение в этом поле ч у в с т в и т е л ь н о к регистру, п о э т о м у в в е д и т е с и м в о л ы
так, как они выглядят в имени домена.
6. Убедитесь, что в поле U R L – а д р е с к о н е ч н о й т о ч к и с л у ж б ы ф е д е р а ц и и
(Federation Service E n d p o i n t U R L ) указан адрес https://SERVER03.Contoso.
сот/adfs/ls/.
7. Перейдите на вкладку О т о б р а ж а е м о е имя ( D i s p l a y N a m e ) и в п о л е Отоб-
ражаемое имя этой п о л и т и к и д о в е р и я (Display N a m e For T h i s T r u s t Policy)
введите нмя Contoso, чтобы указать имя, не з а в и с я щ е е от одного сервера.
Щелкните О К .
Занятие 2
Настройка служб федерации Active Directory 8 7 9
Т е п е р ь п р и с т у п а й т е к с о з д а н и ю у т в е р ж д е н и й д л я пользователей.
1. Р а з в е р н и т е у з е л П о л и т и к а д о в е р и я М о я о р г а п и з а ц и я У т в е р ж д е п и с орга-
н и з а ц и и ( T r u s t P o l i c y M y O r g a n i z a t i o n O r g a n i z a t i o n Claims).
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Утверждение организации (Or-
g a n i z a t i o n Claims), в ы б е р и т е к о м а н д у Создать (New) и щелкните элемент
У т в е р ж д е н и я о р г а н и з а ц и и ( O r g a n i z a t i o n Claim).
3. В д и а л о г о в о м о к н е С о з д а н и е н о в о г о у т в е р ж д е н и я организации ( C r e a t e
A N e w O r g a n i z a t i o n C l a i m ) введите и м я Woodgmve Bank Application Claim.
4. В ы б е р и т е п а р а м е т р У т в е р ж д е н и е о группе ( G r o u p Claim).
5 . Щ е л к н и т е О К , ч т о б ы создать утверждение.
С о з д а н н о е у т в е р ж д е н и е д о л ж н о б ы т ь отображено на панели сведений.
Д о б а в ь т е х р а н и л и щ е у ч е т н ы х з а п и с е й д л я домена contoso.com.
1. П е р е й д и т е к у з л у Х р а н и л и щ а у ч е т н ы х записей (Account Store) в узле Моя
о р г а н и з а ц и я ( M y O r g a n i z a t i o n ) .
2. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Х р а н и л и щ а учетных записей (Ac-
c o u n t S t o r e ) , в ы п о л н и т е к о м а н д у Создать (New) и выберите Хранилище
у ч е т н ы х з а п и с е й ( A c c o u n t S t o r e ) .
3. П р о с м о т р и т е с в е д е н и я на с т р а н и ц е приветствия и щелкните Далее (Next).
4. На с т р а н и ц е Т и п х р а н и л и щ а у ч е т н ы х записей (Account Store Туре) выбе-
р и т е Д о м е н н ы е с л у ж б ы Active D i r e c t o r y ( A D D S ) (Active Directory Domain
S e r v i c e s ( A D D S ) ) и щ е л к н и т е Д а л е е (Next).
О т м е т и м , ч т о с р е а л и з а ц и е й AD FS допустимо связать только одно храни-
л и щ е у ч е т н ы х з а п и с е й AD DS. О д н а к о вместе с хранилищем AD DS также
и с п о л ь з у ю т с я д о п о л н и т е л ь н ы е х р а н и л и щ а A D LDS.
5. На с т р а н и ц е В к л ю ч и т ь это х р а н и л и щ е учетных записей (Enable This Ac-
c o u n t S t o r e ) у с т а н о в и т е ф л а ж о к Включить это хранилище учетных записей
( E n a b l e T h i s A c c o u n t S t o r e ) , щ е л к н и т е Д а л е е (Next) и Готово (Finish).
В п а п к у Х р а н и л и щ а у ч е т н ы х з а п и с е й ( A c c o u n t Stores) будет добавлено
х р а н и л и щ е у ч е т н ы х з а п и с е й с л у ж б ы каталогов Active Directory.
Д л я з а в е р ш е н и я н а с т р о й к и в д о м е н е contoso.com или организации учетных
з а п и с е й н у ж н о с о п о с т а в и т ь г р у п п у с ранее созданным утверждением о группе.
1 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у С л у ж б а каталогов Active Di-
r e c t o r y ( A c t i v e D i r e c t o r y ) в у з л е Х р а н и л и щ а учетных записей (Account
S t o r e s ) , в ы п о л н и т е к о м а н д у Создать (New) и щелкните элемент Извлечение
у т в е р ж д е н и я о г р у п п е ( G r o u p Claim Extraction).
2. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) , введите и м я Accounting и щелкните
к н о п к у П р о в е р и т ь и м е н а ( C h e c k Names). Щ е л к н и т е О К .
3. Убедитесь, что в р а с к р ы в а ю щ е м с я списке выбрано утверждение Woodgrove
B a n k A p p l i c a t i o n Claim, и щ е л к н и т е О К .
О т м е т и м , что д л я с о п о с т а в л е н и я утверждений о группе AD FS использует
и м я г р у п п ы э л е к т р о н н о й почты.
С е р в е р ф е д е р а ц и и у ч е т н ы х з а п и с е й готов.
Службы федерации Active Directory
Глава 17
П о д г о т о в ь т е сервер федерации ресурсов S E R V E R 0 7 .
1. Войдите на машину SERVER07 как администратор домена.
В данном случае у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а д о м е н а н е о б х о д и м ы д л я
идентификации х р а н и л и щ а у ч е т н ы х з а п и с е й .
2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
консоль С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n
Services).
3 . Разверните у з е л С л у ж б а ф е д е р а ц и и Г 1 о л и т и к а д о в е р и я ( F e d e r a t i o n S e r -
viceTrust Policy).
4. Щелкните правой кнопкой мыши политику доверия и выполните команду
Свойства (Properties).
5 . П а вкладке О б щ и е ( G e n e r a l ) в в е д и т е в п о л е U R I – к о д с л у ж б ы ф е д е р а ц и и
(Federation Service U R I ) код urn:federation:WoodgroveBank.
Значение в этом поле ч у в с т в и т е л ь н о к р е г и с т р у , п о э т о м у в в е д и т е с и м в о л ы
так, как они в ы г л я д я т в и м е н и д о м е н а .
6. Убедитесь, что в поле U R L – а д р е с к о н е ч н о й т о ч к и с л у ж б ы ф е д е р а ц и и ( F e d e -
ration Service E n d p o i n t U R L ) у к а з а н адрес https://SERVER07.WoodgroveBank.
сот/ad/s/ls/.
7. Перейдите на в к л а д к у О т о б р а ж а е м о е и м я ( D i s p l a y N a m e ) и в п о л е О т о б -
ражаемое н м я этой п о л и т и к и д о в е р и я ( D i s p l a y N a m e F o r T h i s T r u s t P o l i c y )
введите имя Woodgrove Bank, ч т о б ы у к а з а т ь и м я , не з а в и с я щ е е от о д н о г о
сервера. Щ е л к н и т е О К .
Теперь создайте у т в е р ж д е н и я д л я п о л ь з о в а т е л е й .
1 . Разверните узел П о л и т и к а д о в е р и я М о я о р г а п и з а ц и я У т в е р ж д е н и е орга-
низации (Trust P o l i c y M y O r g a n i z a t i o n O r g a n i z a t i o n C l a i m s ) .
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у У т в е р ж д е н и е о р г а н и з а ц и и ( O r -
ganization Claims), в ы б е р и т е к о м а н д у С о з д а т ь ( N e w ) и щ е л к н и т е э л е м е н т
Утверждения о р г а н и з а ц и и ( O r g a n i z a t i o n C l a i m s ) .
3 . В д и а л о г о в о м о к н е С о з д а н и е н о в о г о у т в е р ж д е ч ш я о р г а н и з а ц и и ( C r e a t e
A New Organization C l a i m ) в в е д и т е и м я W o o d g r o v e B a n k A p p l i c a t i o n Claim.
4. Выберите п а р а м е т р У т в е р ж д е н и е о г р у п п е ( G r o u p C l a i m ) .
5 . Щ е л к н и т е О К , чтобы с о з д а т ь у т в е р ж д е н и е .
Созданное у т в е р ж д е н и е д о л ж н о б ы т ь у к а з а н о н а п а н е л и с в е д е н и й .
Д о б а в ь т е х р а н и л и щ е у ч е т н ы х з а п и с е й д л я д о м е и а w o o d g r o v e b a n k . c o m .
1. На панели дерева п е р е й д и т е к у з л у Х р а н и л и щ а у ч е т н ы х з а п и с е й ( A c c o u n t
Store) в у з л е М о я о р г а н и з а ц и я ( M y O r g a n i z a t i o n ) .
2 . Щ е л к н и т е правой к н о п к о й м ы ш и п а п к у Х р а н и л и щ а у ч е т н ы х з а п и с е й (Ac-
c o u n t Store), в ы п о л н и т е к о м а н д у С о з д а т ь ( N e w ) и в ы б е р и т е Х р а н и л и щ е
учетных з а п и с е й ( A c c o u n t S t o r e ) .
3. Просмотрите с в е д е н и я на с т р а н и ц е п р и в е т с т в и я и щ е л к н и т е Д а л е е ( N e x t ) .
4 . Н а странице Тип х р а н и л и щ а у ч е т н ы х з а п и с е й ( A c c o u n t S t o r e Т у р е ) выбе-
рите Д о м е н н ы е с л у ж б ы Active D i r e c t o r y ( A D D S ) ( A c t i v e D i r e c t o r y Domain
Services ( A D D S ) ) н щ е л к н и т е Д а л е е ( N e x t ) .
Занятие 2
Настройка служб федерации Active Directory 8 8 1
5 . Н а с т р а н и ц е В к л ю ч и т ь э т о х р а н и л и щ е у ч е т н ы х з а п и с е й ( E n a b l e This Ac-
c o u n t S t o r e ) у с т а н о в и т е ф л а ж о к В к л ю ч и т ь это х р а н и л и щ е у ч е т н ы х записей
( E n a b l e T h i s A c c o u n t S t o r e ) , щ е л к н и т е Д а л е е ( N e x t ) , а затем Готово (Finish),
ч т о б ы з а в е р ш и т ь о п е р а ц и ю .
В п а п к у Х р а н и л и щ а у ч е т н ы х з а п и с е й ( A c c o u n t S t o r e s ) будет д о б а в л е н о
х р а н и л и щ е у ч е т н ы х з а п и с е й с л у ж б ы к а т а л о г о в Active Directory.
Д о б а в ь т е в о р г а н и з а ц и ю р е с у р с о в A D F S п р и л о ж е н и е , п о д д е р ж и в а ю щ е е
у т в е р ж д е н и е .
1. П е р е й д и т е к у з л у П р и л о ж е н и я ( A p p l i c a t i o n s ) в у з л е М о я о р г а н и з а ц и я ( M y
O r g a n i z a t i o n ) .
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л П р и л о ж е н и я , в ы п о л н и т е команду
С о з д а т ь ( N e w ) и в ы б е р и т е П р и л о ж е н и е ( A p p l i c a t i o n ) .
3 . Н а с т р а н и ц е п р и в е т с т в и я м а с т е р а щ е л к н и т е Д а л е е ( N e x t ) .
А . Н а с т р а н и ц е Т и п п р и л о ж е н и я ( A p p l i c a t i o n Туре) в ы б е р и т е т и п Приложе-
н и е , п о д д е р ж и в а ю щ е е у т в е р ж д е н и я ( C l a i m s – A w a r e Application) и щелкните
Д а л е е ( N e x t ) .
5 . Н а с т р а н и ц е П о д р о б н о с т и о п р и л о ж е н и и ( A p p l i c a t i o n D e t a i l s ) в поле
О т о б р а ж а е м о е и м я п р и л о ж е н и я ( A p p l i c a t i o n Display N a m e ) введите имя
Claim Application 01, а т а к ж е в в е д и т е U R L п р и л о ж е н и я https://SERVl:R08.
WoodgroveBank.com/claimapplication01. Щ е л к н и т е Д а л е е (Next).
6 . Н а с т р а н и ц е П р и н я т ы е и д е н т и ф и к а ц и о н н ы е у т в е р ж д е н и я (Accept Identity
C l a i m s ) в ы б е р и т е у т в е р ж д е н и е О с н о в н о е и м я п о л ь з о в а т е л я ( U s e r Principal
N a m e ) и щ е л к н и т е Д а л е е ( N e x t ) .
Е с л и в ы з а х о т и т е д о б а в и т ь и д е н т и ф и к а ц и о н н ы е у т в е р ж д е н и я нескольких
т и п о в , н е з а б ы в а й т е о п о р я д к е и х о б р а б о т к и , о п и с а н н о м ранее.
7 . У с т а н о в и т е ф л а ж о к В к л ю ч и т ь э т о п р и л о ж е н и е ( E n a b l e T h i s Application),
щ е л к н и т е Д а л е е ( N e x t ) , а з а т е м Готово ( F i n i s h ) .
8 . Н а п а н е л и д е р е в а в ы б е р и т е с о з д а н н о е п р и л о ж е н и е .
9 . И а п а н е л и с в е д е н и й щ е л к н и т е п р а в о й к н о п к о й м ы ш и утверждение Wood-
g r o v e B a n k A p p l i c a t i o n C l a i m и в ы п о л н и т е к о м а н д у В к л ю ч и т ь (Enable).
10. Н а п а н е л и с в е д е н и й п р о в е р ь т е с о з д а н и е и в к л ю ч е н и е утверждения.
С е р в е р ф е д е р а ц и и р е с у р с о в г о т о в о б р а б а т ы в а т ь у т в е р ж д е н и я .
СОВЕТ К ЭКЗАМЕНУ
Т щ а т е л ь н о п о п р а к т и к у й т е с ь в выполнении этой процедуры и различных операций.
Настройка п о л и т и к доверия, а т а к ж е сопоставление утверждении о пользователях
и группах я в л я ю т с я важными темами сертификационного экзамена,
Упражнение 7. Настройка доверия федерации
Н а с т р о и л о б а с е р в е р а ф е д е р а ц и и , п р и с т у п а й т е к настройке доверия федерации.
Д л я э т о г о н у ж н о э к с п о р т и р о в а т ь п о л и т и к у д о в е р и я с сервера федерации учет-
н ы х з а п и с е й , и м п о р т и р о в а т ь ее на с е р в е р ф е д е р а ц и и ресурсов, создать на ос-
н о в е э т о й п о л и т и к и с о п о с т а в л е н и е у т в е р ж д е н и й , э к с п о р т и р о в а т ь партнерскую
п о л и т и к у с сервер а ф е д е р а ц и и ресурсо в и и м п о р т и р о в а т ь е е и а с е р в е р ф е д е р а -
ции учетных записей. Таким образом, р е а л и з а ц и я AD I-S б у д е т з а в е р ш е н а .
1 Запустите машины S E R V E R O I . S E R V E R 0 3 . S E R V E R 0 6 и S E R V E R 0 7 . Вой-
д и т е и а м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .
2 В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e T o o l s ) з а п у с т и т е
консоль Службы федерации Active D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n
Services).
3. Разверните узел С л у ж б а ф е д е р а ц и н П о л и т н к а д о в е р и я ( F e d e r a t i o n Ser-
viceTrust Policy).
4 . Щелкните правой кнопкой м ы ш и п а п к у П о л и т и к у д о в е р и я ( T r u s t P o l i c y )
и выполните команду Э к с п о р т о с н о в н о й п а р т н е р с к о й п о л и т и к и ( E x p o r t
Basic Partner Policy).
5. Щелкните кнопку О б з о р (Browse), о т к р о й т е п а п к у C : T e m p и з а д а й т е д л я
файла политики имя ContosoTrustPolicy.rml. Щ е л к н и т е к н о п к и С о х р а н и т ь
(Save) н О К , чтобы з а к р ы т ь д и а л о г о в о е о к н о .
В версии служб федерации W i n d o w s Server 2 0 0 3 R2 э к с п о р т и и м п о р т поли-
тик приходилось выполнять вручную, в р е з у л ь т а т е чего н е р е д к о в о з н и к а л и
ошибки. В AD FS д л я в ы п о л н е н и я э т о й з а д а ч и и с п о л ь з у е т с я г р а ф и ч е с к и й
интерфейс, который с н и ж а е т в е р о я т н о с т ь в о з н и к н о в е н и я о ш и б о к .
Теперь импортируйте п о л и т и к у на с е р в е р ф е д е р а ц и и р е с у р с о в в о р г а н и з а -
ции Woodgrove Bank.
1. Войдите иа машину S E R V E R 0 7 ка к а д м и н и с т р а т о р д о м е н а .
2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
консоль Службы ф е д е р а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n
Services).
3. Разверните узел С л у ж б а ф е д е р а ц и и П о л и т и к а д о в е р и я П а р т н е р с к и е ор-
ганизации (Federation S e r v i c e T r u s t P o l i c y P a r t n e r O r g a n i z a t i o n s ) .
4 . Щ е л к н и т е правой кнопкой м ы ш и п а п к у П а р т н е р ы п о у ч е т н ы м з а п и с я м
(Account Partners), выполните команду С о з д а т ь ( N e w ) и щ е л к н и т е э л е м е н т
Партнер по учетным з а п и с я м ( A c c o u n t P a r t n e r ) .
5. На странице приветствия щ е л к н и т е Д а л е е ( N e x t ) .
6. На странице И м п о р т ф а й л а п о л и т и к и ( I m p o r t Policy File) щ е л к н и т е пара-
метр Да (Yes), а затем к н о п к у О б з о р ( B r o w s e ) .
7. В адресную строку введите адрес \SERVEIW3.contoso.comtemp и н а ж м и -
те клавишу Enter. Выберите п о л и т и к у д о в е р и я C o n t o s o , п о с л е д о в а т е л ь н о
щелкните кнопки О т к р ы т ь ( O p e n ) и Д а л е е ( N e x t ) .
8. На странице Сведения о п а р т н е р е по у ч е т н ы м з а п и с я м ( A c c o u n t P a r t n e r
Details) щелкните Далее ( N e x t ) .
На странице должна отображаться та же и н ф о р м а ц и я , которая б ы л а введена
при настройке свойств п о л и т и к и д о в е р и я д л я д о м е н а c o n t o s o . c o m .
П °Д™Ф>ВДаю.ций с е р т и ф и к а т проверк и п а р т н е р а п о учетны м
записям (Account Partner Verification Certificate) выберите параметр И споль-
Занятие 2
Настройка служб федерации Active Directory 8 8 3
з о в а т ь с е р т и ф и к а т проверки в ф а й л е политики импорта (Use The Verifica-
tion C e r t i f i c a t e In T h e I m p o r t Policy File) и щелкните Далее (Next).
10. На с т р а н и ц е Ф е д е р а т и в н ы й сценарий (Federation Scenario) выберите па-
р а м е т р Е д и н ы й вход ф е д е р а ц и и д л я Интернет-решений (Federated Web
S S O ) и щ е л к н и т е Д а л е е ( N e x t ) .
И. На с т р а н и ц е И д е н т и ф и к а ц и о н н о е утверждение партнера но учетным за-
п и с я м ( A c c o u n t P a r t n e r Identity Claims) установите флажки Утверждение
на U P N – и м я ( U P N C l a i m ) и Утверждение на электронную почту (E-mail
C l a i m ) и щ е л к н и т е Д а л е е ( N e x t ) .
П о м н и т е , что о б щ и е и мен а часто очень сложно подтверждать и проверять
их у н и к а л ь н о с т ь . П о э т о м у по возможности избегайте их использования.
12. На с т р а н и ц е П р и н я т ы е с у ф ф и к с ы U P N – и м е н н (Accepted UPN Suffixes)
в в е д и т е с у ф ф и к с Contoso.com, щ е л к н и т е Добавить (Add) и Далее (Next).
13. На с т р а н и ц е П р и н я т ы е с у ф ф и к с ы электронной почты (Accepted E-mail
Suffixes) в в е д и т е с у ф ф и к с Contoso.com, щелкните кнопку Добавить (Add)
и Д а л е е ( N e x t ) .
14. На с т р а н и ц е В к л ю ч и т ь этого партнера по учетным записям (Enable This
A c c o u n t P a r t n e r ) у с т а н о в и т е ф л а ж о к Включить этого партнера по учетным
з а п и с я м ( E n a b l e This A c c o u n t P a r t n e r ) н щелкните Далее (Next).
15. Щ е л к н и т е к н о п к у Готово (Finish), чтобы завершить работу мастера.
И т а к , на с е р в е р е ф е д е р а ц и и ресурсов настроен партнер по учетным за-
п и с я м . Он о т о б р а ж а е т с я в узле Партнеры по учетным записям (Account
P a r t n e r s ) .
Теперь с о з д а й т е с о п о с т а в л е н и е утверждений для этого партнера.
1. В у з л е П а р т н е р ы по у ч е т н ы м записям (Account Partners) щелкните правой
к н о п к о й м ы ш и имя партнера Contoso, выполните команду Создать (New) и
щ е л к н и т е э л е м е н т В х о д я щ е е утверждение о группе (Incoming Group Claim
M a p p i n g ) .
2. В д и а л о г о в о м окне Создание сопоставления входящих утверждений о груп-
пе ( C r e a t e A New Incoming G r o u p Claim Mapping) введите имя Woodgrove
. Bank Application Claim, выберите в раскрывающемся списке Woodgrove Bank
Application Claim, а затем щелкните О К .
О т м е т и м , что вы д о л ж н ы ввести символы в верхнем и нижнем регистрах
т о ч н о т а к и м же образом, как они были введены ранее в домене contoso.com
при создании утверждения о группе. Использование одного имени и пароля
д л я обеих у ч е т н ы х з а п и с е й в организациях учетных записей и ресурсов
у п р о щ а е т эту задачу.
Теперь э к с п о р т и р у й т е партнерскую политику сервера федерации ресурсов
и и м п о р т и р у й т е ее на сервер федерации учетных записей.
1. В узле П а р т н е р ы по учетным записям (Account Partners) щелкните правой
к н о п к о й м ы ш и партнера Contoso и выполните команду Политика экспорта
( E x p o r t Policy).
г 884 Службы федерации Active Directory
Глава 17
2. В диалоговом окне Экспорт п а р т н е р с к о й п о л и т и к и ( E x p o r t P a r t n e r Policy)
щелкните кнопку Обзор (Browse).
3. В адресной строке введите адрес \SE11VER03.contoso.comtemp и н а ж м и т е
клавишу Enter.
4. Введите имя файла ContosoPartnerPolicy и щ е л к н и т е к н о п к у Сохранить (Save).
5. Щелкните ОК, чтобы завершить операцию.
Теперь импортируйте эту партнерскую п о л и т и к у на сервер ф е д е р а ц и и учет-
ных записей.
6. Войдите иа машину S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .
7. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) запустите
Службы федерации Active Directory ( A c t i v e D i r e c t o r y F e d e r a t i o n Services).
8. Разверните узел Служба ф е д е р а ц и и П о л и т и к а д о в е р и я П а р т н е р с к и е ор-
ганизации (Federation S e r v i c e T r u s t P o l i c y P a r t n e r O r g a n i z a t i o n s ) .
9. Щелкните правой к н о п к о й м ы ш и у з е л П а р т н е р ы по р е с у р с а м ( R e s o u r c e
Partners), выполните к о м а н д у С о з д а т ь ( N e w ) и щ е л к н и т е э л е м е н т П а р т н е р
по ресурсам (Resource Partner).
10. На странице приветствия щ е л к н и т е Д а л е е ( N e x t ) .
И. На странице Импорт файла п о л и т и к и ( I m p o r t Policy File) в ы б е р и т е о п ц и ю
Да (Yes), а затем щелкните к н о п к у О б з о р ( B r o w s e ) .
12. Откройте папку C:Temp, в ы б е р и т е ф а й л C o n t o s o P a r t n e r P o l i c y и щ е л к н и т е
кнопку Открыть ( O p e n ) . Щ е л к н и т е Д а л е е ( N e x t ) .
13. На странице Подробности о партнере по р е с у р с а м ( R e s o u r c e P a r t n e r Details)
щелкните Далее (Next).
Здесь должна отображаться та же и н ф о р м а ц и я , к о т о р у ю вы в в е л и в про-
цессе настройки свойств п о л и т и к и д о в е р и я д л я д о м е н а W o o d g r o v e Bank.
14. На странице Федеративный сценарий ( F e d e r a t i o n Scenario) выберите сцена-
рий Единый вход ф е д е р а ц и и д л я И н т е р н е т – р е ш е н и й ( F e d e r a t e d W e b S S O )
и щелкните Далее (Next).
15. На странице И д е н т и ф и к а ц и о н н о е у т в е р ж д е н и е п а р т н е р а по р е с у р с а м (Re-
source Partner Identity Claims) у с т а н о в и т е ф л а ж к и У т в е р ж д е н и е на U P N -
имя ( U P N Claim) и Утверждение на э л е к т р о н н у ю п о ч т у ( E – m a i l C l a i m ) .
Щелкните Далее (Next).
16. На странице Выбор с у ф ф и к с а U P N – и м е н и (Select U P N S u f f i x ) в ы б е р и т е
параметр Заменить все U P N – с у ф ф и к с ы (Replace All U P N Suffixes W i t h T h e
Following) и укажите U P N – с у ф ф и к с Contoso.com. Щ е л к н и т е Д а л е е ( N e x t ) .
Помните, что в партнерской связи используется т о л ь к о о д и н с у ф ф и к с U P N ,
даже если в лесу AD DS их несколько.
17. На странице Выбор с у ф ф и к с а э л е к т р о н н о й п о ч т ы ( S e l e c t E-mail Suffix)
выберите параметр Заменить все с у ф ф и к с ы э л е к т р о н н о й почты (Replace All
E-Mail Suffixes W i t h ) и укажите с у ф ф и к с э л е к т р о н н о й п о ч т ы Contoso.com.
Щелкните Далее (Next).
Занятие 2
f l f l u I
18. Н а с т р а н и ц е В к л ю ч и т ь э т о г о п а р т н е р а п о у ч е т н ы м з а п и с я м ( E n a b l e T h i s
A c c o u n t P a r t n e r ) у с т а н о в и т е ф л а ж о к В к л ю ч и т ь этого п а р т н е р а п о у ч е т н ы м
з а п и с я м ( E n a b l e T h i s A c c o u n t P a r t n e r ) и щ е л к н и т е Д а л е е ( N e x t ) .
