Seguridad y VPN : Kerberos

Kerberos con ADFS 2.0 para el usuario final SAML SSO para el ejemplo de configuración del Jabber

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar el Kerberos con los servicios de la federación del Active Directory (ADFS) 2.0.

Contribuido por Raees Shaikh, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Muestra del lenguaje de marcado de la aserción de la Seguridad del usuario final la sola (SAML) en la configuración (SSO) requiere el Kerberos ser configurada para permitir que el usuario final SAML SSO para que el Jabber trabaje con la autenticación de dominio. Cuando SAML EL SSO se implementa con el Kerberos, el Lightweight Directory Access Protocol (LDAP) maneja toda la sincronización de la autorización y del usuario, mientras que el Kerberos maneja la autenticación. El Kerberos es un protocolo de autenticación que se significa para ser utilizado conjuntamente con un caso LDAP-habilitado.

En las máquinas de Microsoft Windows y de Macintosh que se unen a un dominio del Active Directory, los usuarios pueden el registro del seamlessly en el Jabber de Cisco sin el requisito de ingresar un nombre de usuario o la contraseña y ellos incluso no consideran a una pantalla de inicio de sesión. Los usuarios que todavía no se registran en el dominio en sus ordenadores ven un formulario de inicio de sesión estándar.

Porque la autenticación utiliza un solo token pasajero de los sistemas operativos, ningunos reoriente se requiere. El token se verifica contra el controlador de dominio dominante configurado (KDC), y si es válido, abren una sesión al usuario. 

Configuración

Aquí está el procedimiento para configurar el Kerberos con ADFS 2.0.

  1. Instale el r2 2008 del Microsoft Windows server en una máquina.

  2. Instale los servicios del dominio de Active Directory (AGREGA) y ADFS en la misma máquina.

  3. Instale los Servicios de Internet Information Server (IIS) en la máquina del Microsoft Windows server 2008 R2-installed.

  4. Cree un certificado autofirmado para el IIS.

  5. Importe el certificado autofirmado en el IIS y utilícelo como el certificado de servidor HTTPS.

  6. Instale Microsoft Windows7 en otra máquina y utilícelo como cliente.

    • Cambie el Domain Name Server (DNS) a la máquina donde usted instaló AGREGA.

    • Agregue esta máquina al dominio que usted creó en la instalación ADDS.

      1. Vaya al comienzo.
      2. Haga clic con el botón derecho del ratón la Computadora.
      3. Haga clic en Properties (Propiedades).
      4. Haga clic las configuraciones del cambio en el Lado derecho de la ventana.
      5. Haga clic la lengueta del nombre de computadora.
      6. Haga clic el cambio.
      7. Agregue el dominio que usted creó.



  7. Marque si el servicio Kerberos genera en ambas máquinas.

    1. Inicie sesión como administrador en la máquina servidor y abra el comando prompt. Entonces ejecute estos comandos:

      • \windows\System32 cd
      • Boletos de Klist



    2. Inicie sesión como Domain User en la máquina del cliente y ejecute los mismos comandos.



  8. Cree la identidad del Kerberos ADFS en la máquina donde usted instaló AGREGA.

    El administrador de Microsoft Windows registrado en el dominio de Microsoft Windows (como el <domainname> \ administrador), por ejemplo en el controlador de dominio de Microsoft Windows, crea la identidad del Kerberos ADFS. El servicio ADFS HTTP debe tener una identidad del Kerberos llamada un nombre principal del servicio (SPN) en este formato: HTTP/DNS_name_of_ADFS_server.

    Este nombre se debe asociar al usuario de Active Directory que representa el caso del servidor HTTP ADFS. Utilice la utilidad del setspn de Microsoft Windows, que debe estar disponible por abandono en un servidor de Microsoft Windows 2008.

    Procedimiento
    • Registre el SPNs para el servidor ADFS. En el controlador de dominio del Active Directory, funcione con el comando del setspn.

      Por ejemplo, cuando el host ADFS es adfs01.us.renovations.com, y el dominio del Active Directory es US.RENOVATIONS.COM, el comando es:

         setspn -a HTTP/adfs01.us.renovations.com <ActiveDirectory user>
         setspn -a HTTP/adfs01 <ActiveDirectory user>


      La porción HTTP del SPN se aplica, aunque el servidor ADFS es accedido típicamente por Secure Sockets Layer (SSL), que es HTTPS.

    • Marque que el SPNs para el servidor ADFS está creado correctamente con el comando del setspn y vea la salida.

         setspn -L <ActiveDirectory user>




  9. Configure las configuraciones del buscador del cliente de Microsoft Windows.

    1. Navegue a las herramientas > a InternetOptions > avanzó para habilitar la autenticación de Windows integrada.

    2. Marque la casilla de verificación integrada permiso de la autenticación de Windows:



    3. Navegue a las herramientas > al > Security (Seguridad) > a la Local Intranet (Intranet local) > a la aduana de las opciones de Internet llana… para seleccionar el inicio automático solamente en la zona del Intranet.



    4. Navegue a las herramientas > al > Security (Seguridad) > a la Local Intranet (Intranet local) > a los sitios de las opciones de Internet > avanzó para agregar la detección de intrusos y la prevención (IDP) URL a los sitios de la Local Intranet (Intranet local).

      Nota: Marque todas las casillas de verificación en el cuadro de diálogo de la Local Intranet (Intranet local) y haga clic la ficha Avanzadas.





    5. Navegue al Tools (Herramientas) > Security (Seguridad) > a los sitios confiables > a los sitios para agregar los nombres de host CUCM a los sitios confiables:

Verificación

Esta sección explica cómo verificar que la autenticación (Kerberos o autenticación del administrador de LAN de NT (NTLM)) se utiliza.

  1. Descargue la herramienta del Fiddler a su máquina del cliente y instalela.

  2. Cierre todas las ventanas del Internet Explorer.

  3. Funcione con la herramienta del Fiddler y marque que la opción del tráfico de la captura está habilitada bajo menú de archivos.

    El Fiddler trabaja como proxy del paso entre la máquina del cliente y el servidor y escucha todo el tráfico, que fija temporalmente sus configuraciones del Internet Explorer como esto:



  4. Abra al Internet Explorer, hojee en su servidor URL de la administración de la relación del cliente (CRM), y haga clic algunos links para generar el tráfico.

  5. Refiérase de nuevo a la ventana principal del Fiddler y elija uno de los bastidores donde está 200 el resultado (éxito):



    Si el tipo de autenticación es NTLM, después usted ve para negociar - NTLMSSP al principio del bastidor, como se muestra aquí:

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.



Document ID: 118841