В тази статия ще ви покажа как да инсталирате и Active Directory настройки Федерация на услугите (AD FS), които са все по-често в търсенето на различни сценарии.
Какво е важно да се каже за АД FS, е фактът, че най-много тази услуга осигурява удостоверяване чрез "публична" мрежа (която може да се използва за организиране на единичен вход за достъп), той използва Kerberos не е запознат, но новоизлюпена Вземания (CBA). Разбира се, предадените данни се криптира (с помощта на SSL 3.0).
Що се отнася до изискванията към системата са много скромни: 1GHz vCPU, 1Gb VRAM, 20GB vHDD (бавно съхранение SATA) е достатъчно. Допълнителни лицензи за клиентски достъп не се изисква, а ако е инсталиран на хост Windows Server, лицензът може и да струва $ 0.
Инсталирайте АД FS сървъра теоретично е възможно с други роли, но това е по-добре да се разпределят на отделен сървър, имайки предвид, че ресурсите и лицензи са минимални.
Един пример за това защо лошо комбинирате: не е на сървъра, той е инсталиран IIS, IIS сайтове подписан сертификат server.local.domain. настроен АД FS, удостоверение, подписано от adfs.internet.domain. След това, когато се опитвам да вляза в AD FS предсказуемо ще подписва сертификати server.local.domain. какво не е наред. Също така, той не се поддържа от комбинацията на ролите за отдалечен достъп.
Нека да започнем с инсталацията на ролята:
Преди да се опитате да се създаде, трябва да получите сертификат, който ще бъде подписан като AD FS услуга, и се публикува използване на услугите за прокси уеб приложение. Следователно е очевидно, че сертификатът трябва да съдържа пълен списък на публикуваните услуги (това е вярно), или да бъде маска (по-лесно).
Разбира се, най-добре е да се използва търговски сертификат, но тя ще работи и сертификат, издаден от СО корпоративен. Що се отнася до самоподписани сертификати след това може да се създаде, както обикновено - с помощта на IIS, работа с външни услуги (например, Office 365) е - proverenno.
Ето един пример заявка, че аз се възстанови своята корпоративна CA, имайте предвид, аз използвах "Полет" в името единствено за целите на демонстрацията, в производствена среда не винаги е приемлив:
удостоверение Treat сериозно - като работи с-ми вместо комплексни, докато не преинсталирате АД FS и WAP роля, която води до повторното публикуване услуги.
Сега можем да стартирате съветника за настройка, която е много проста, ние се отбележи, сертификатът, получен по-рано:
Посочете параметрите на външната база данни (само Database Engine):
След настройката се прави, трябва да се грижи за клиентите в рамките на мрежата може да открие "външни" името на услугата:
За външни потребители, ще бъде даден прозорец с данни за вход:
В този случай, настройката на FS база единица и АД може да се счита, приключила.
Изрази надежда, информацията ще бъде полезна, и ако имате нужда от помощ - използвайте формата в началната страница на сайта ми.
Споделете това:
Свързани статии