ADFS (3) – Instalace ADFS
ADFS (3) – Instalace ADFS
1 Úvod
V minulém díle jsme si vysvětlili, jak ADFS pracuje. V tomto díle se budeme věnovat instalaci ADFS serverů.
2 Teoretický základ
Teoretický základ shrnuje základy, které je potřeba zvážit před samotnou instalací a konfigurací ADFS v prostředí zákazníka.
2.1 Vysoká dostupnost ADFS
ADFS můžeme nainstalovat v několika scénářích a variantách, jejichž hlavní výhody a nevýhody jsou popsány v tabulce.
WAP | ADFSBE | Výhody | Nevýhody |
0 | 1 | · serverově nenáročné řešení· snadná implementace | · chybí vysoká dostupnost· nedoporučovaná varianta pro autentizaci uživatelů z jiné než podnikové sítě· není možnost preautentizace |
1 | 1 | · bezpečná varianta s možností preautentizace a výhod spojených s WAP proxy | · chybí vysoká dostupnost· potřeba DMZ |
2+ | 2+ | · nejrobustnější varianta nasazení ADFS· vysoká dostupnost řešení· bezvýpadkové restarty a patchování serverů | · potřeba DMZ· potřeba řešit Load Balancer |
Instalace ADFS je relativně snadná záležitost, je potřeba mít připravené:
· Servery v doméně pro ADFS backendy (požadavky pro ADFS)
· Servisní účet pro ADFS (https://msdn.microsoft.com/en-us/library/azure/dn528860.aspx)
o Je možné použít doménový účet, nebo gMSA (group Managed Service Account)
· Důvěryhodný certifikát třetí strany pro (service communication certificate)
· Token Signing a Token Decrypting certificate dle best practice (doporučení zde)
· DNS záznamy na servisní jméno ADFS (například ADFS.doména.suffix)
· Prostupy na firewallu port 443 a 80 z Internetu na WAP proxy a z WAP proxy na ADFS BE
· WAP proxy servery v DMZ zóně dle (plánování nasazení WAP proxy)
2.2 ADFS a SQL databáze
Podle zvoleného scénáře nasazení ADFS lze při instalaci využít buď existující SQL farmy, nebo použít Windows Internal Database (dříve SQL Express) s následujícími výhodami a nevýhodami.
· ADFS lze nainstalovat s Microsoft SQL, kdy si ADFS při instalaci vytvoří SQL databázi na již existující farmě (výhody nasazení ADFS s plnohodnotným SQL) a každý server v ADFS farmě lze použít k zápisu konfiguračních změn. Konfigurace s plným SQL je vhodná pro velké společnosti, které mají více než 100 relaying party trustů.
· ADFS s Windows Internal Database se hodí pro menší společnosti, které nepotřebují, nebo nemají možnost utilizovat plné SQL. ADFS s WID je plně funkční s omezeními viz (https://technet.microsoft.com/en-us/library/dn554248.aspx). Hlavní omezení z hlediska funkčnosti je nemožnost nastavit více než 100 relaying party trustů, z hlediska administrace pak lze provádět konfigurační změny pouze na prvním serveru nové ADFS farmy.
3 Instalace ADFS
Instalaci ADFS je potřeba rozdělit na několik kroků. ADFS se nejdříve nainstaluje na Windows Server 2012 R2 v interní síti. Funkčnost ADFS testujeme z interní sítě. Po ověření funkčnosti ADFS je možné nainstalovat WAP Proxy a vytvořit trust mezi WAP proxy a ADFS backendem. ADFS lze instalovat přes PowerShell nebo GUI.
3.1 Instalace ADFS backendu
· V prvním kroku je potřeba připravit Service Communication certifikát do Certificate Store pod účtem serveru.
· ADFS 3.0 je součástí Windows Server 2012 R2. Instaluje se přes PowerShell
· ADFS farmu konfigurujeme příkazem
· Po instalaci ADFS je potřeba server restartovat. Po restartu je potřeba ověřit funkčnost ADFS. DNS jméno ADFS.DOMAIN.COM by v tuto chvíli mělo směřovat na IP adresu load balanceru, nebo IP adresu jediného ADFS backendu. DNS jméno musí být přeložitelné i v DMZ.
· Funkčnost ADFS ověříme přes URL: https://adfsservicename.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx
· Pro ADFS ve vysoké dostupnosti je možné přidat další ADFS server příkazem
· Po přidání dalšího ADFS serveru, je potřeba ověřit funkčnost. Funkčnost ověříme analogicky z předchozího postupu, ale místo ADFS.domain.com dáváme do URL FQDN nově přidaného ADFS serveru. https://ADFSBE2.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx
· Aby bylo možné využít ADFS i pro jiné než http protokoly (WS-Trust, Windows Communication Foundation...), je potřeba zaregistrovat SPN záznam pro servisní účet, pod kterým ADFS běží. Tento servisní účet byl vytvořen, jako prerekvizita před instalací ADFS. SPN záznam se vytváří již při instalaci ADFS, pokud by bylo ADFS instalováno do prostředí, ve kterém se ADFS se stejnými parametry nacházelo již dříve, je možné narazit na problém se špatným nastavením SPN a tím na nefunkčnost ADFS pro některé protokoly. Ověření SPN může být provedeno příkazem
Příkaz zobrazí SPN záznam pro daný servisní účet, pokud SPN existuje.
· Přidání SPN záznamu pro servisní účet je možné příkazem
3.2 Instalace WAP Proxy
Dalším krokem je instalace WAP Proxy serveru. WAP proxy umožní využívat ADFS i pro externí klienty.
· Instalace se provádí příkazem
· Konfigurace příkazem, který bude chtít zadat uživatelské jméno a heslo lokálního administrátora na ADFS backend serverech
· Funkčnost WAP proxy je možné otestovat například otevřením https://adfsservicename.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx, nebo kontrolou Event logu na ADFS proxy serveru. V Event logu musí být vidět, Event ID: 245, se zprávou, že WAP Proxy úspěšně získal informace z ADFS backendu. Tato zpráva v Event logu také dokládá, že trust mezi WAP Proxy a ADFS backendem funguje správně. Nefunkční trust mezi WAP Proxy a ADFS backendem je také nejčastější příčinou problémů s autentizací uživatelů z externích sítí.
V příštím díle si projdeme základní nastavení ADFS a WAP Proxy po instalaci.
- Zbyněk Saloň, KPCS CZ
Mohlo by vás také zajímat: