Голосовая связь и система унифицированных коммуникаций : Cisco Jabber для Windows

Настройка SSO SAML с Примером конфигурации проверки подлинности Kerberos

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить Сервис Федерации Active Directory и Active Directory (AD FS) Версия 2.0, чтобы позволить ему использовать проверку подлинности Kerberos Клиентами Jabber (Только Microsoft Windows), который позволяет пользователям входить с их Входом в систему Microsoft Windows и не предлагаться для учетных данных.

Внимание.  : Этот документ основывается на лабораторной среде и предполагает, что вы знаете о влиянии изменений, которые вы вносите. Сошлитесь на документацию соответствующего продукта для понимания влияния изменений, которые вы вносите.

Внесенный А.М.Мэхешем Бэбу, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь:

  • AD Версия 2.0 FS , установленная и настроенная с продуктами Cisco Collaboration как Полагающийся Партийное Доверие
  • Продукты совместной работы, такие как IM Cisco Unified Communications Manager (CUCM) и Присутствие, Cisco Unity Connection (UCXN) и CUCM включили для использования Единой точки входа (SSO) Языка разметки утверждений безопасности (SAML)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Active Directory 2008 (имя хоста: ADFS1.ciscolive.com)
  • AD версия 2.0 FS (имя хоста: ADFS1.ciscolive.com)
  • CUCM (имя хоста: CUCM1.ciscolive.com)
  • Версия Microsoft Internet Explorer 10
  • Версия 34 Mozilla Firefox
  • Версия 4 скрипача Telerik

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Настройте AD FS

  1. Настройте AD Версию 2.0 FS с Сервисным главным именем (SPN) для включения компьютера клиента, на котором Jabber установлен для запроса билетов, который в свою очередь позволяет компьютеру клиента связаться с AD сервисом FS.



    Обратитесь к AD FS 2.0: Как Настроить SPN (servicePrincipalName) для Учетной записи сервиса для получения дополнительной информации.

  2. Гарантируйте, что конфигурация проверки подлинности по умолчанию для AD сервиса FS (в C:\inetpub\adfs\ls\web.config) является Интегрированной Проверкой подлинности Windows. Гарантируйте, что это не было изменено на Основанную на форме Аутентификацию.



  3. Выберите Windows Authentication и нажмите Advanced Settings под правой панелью. В Расширенных настройках снятие Включает аутентификацию Привилегированного режима, удостоверьтесь, что Расширенная Защита Выключено, и нажмите OK.



  4. Гарантируйте, что AD Версия 2.0 FS поддерживает и протокол Kerberos и LAN Manager NT (NTLM) протокол, потому что все клиенты Не-Windows не могут использовать Kerberos и положиться на NTLM.

    В правой панели выберите Providers и удостоверьтесь, Выполняют согласование, и NTLM присутствуют при Включенных Поставщиках:



    Примечание: AD FS передает Выполнить согласование заголовок защиты, когда Интегрированная Проверка подлинности Windows используется для аутентификации запросов клиента. Выполнить согласование заголовок защиты позволяет клиентам выбирать между проверкой подлинности Kerberos и аутентификацией NTLM. Выполнить согласование процесс выбирает проверку подлинности Kerberos, пока одно из этих условий не истинно:   

    - Одна из систем, которая вовлечена в аутентификацию, не может использовать проверку подлинности Kerberos.  

    - Вызывающее приложение не предоставляет достаточные сведения для использования проверки подлинности Kerberos.  

    - Чтобы позволить Выполнить согласование процессу выбрать протокол Kerberos для сетевой проверки подлинности, клиентское приложение должно предоставить SPN, главное имя пользователя (UPN) или Network Basic Input/Output System (NetBIOS) учетное имя как целевое имя. В противном случае Выполнить согласование процесс всегда выбирает протокол NTLM как предпочтительный метод аутентификации.

Настройте браузер

Microsoft Internet Explorer

  1. Гарантируйте, что Internet Explorer > Усовершенствованный> Включает Интегрированную Проверку подлинности Windows, проверен.



  2. Добавьте AD URL FS под Безопасностью> зоны Интранет> сайты.



  3. Добавьте CUCM, IMP и имена хоста Unity к Безопасности> Надежные узлы.



  4. Гарантируйте, что Интернет > Security Exporer>> Security Локального Intranet Параметры настройки> Проверка подлинности пользователя - Вход в систему настроен для использования вошедшего учетные данные для интранет-сайтов.

Mozilla Firefox

  1. Открытый Firefox и вводит about:config в строку адреса.



  2. Нажмите я буду осторожен, я обещаю!



  3. Дважды нажмите Привилегированное название network.negotiate-auth.allow-non-fqdn к истинному и network.negotiate-auth.trusted-uris к ciscolive.com, adfs1.ciscolive.com для изменения.



  4. Близкий Firefox и вновь открывается.

Проверка.

Чтобы проверить, что SPNs для AD сервера FS должным образом созданы, войдите, setspn дают команду и просматривают выходные данные.

Проверьте, имеют ли клиентские компьютеры билеты Kerberos:

Выполните эти шаги для подтверждения, какая аутентификация (Kerberos или аутентификация NTLM) используется.

  1. Загрузите программное средство Скрипача к клиентскому компьютеру и установите его.

  2. Закройте все окна Microsoft Internet Explorer.

  3. Выполните Программное средство Скрипача и проверьте, что Вариант трафика Перехвата включен под Меню Файл. Скрипач работает как транзитный прокси между клиентским компьютером и сервером и слушает весь трафик.

  4. Открытый Microsoft Internet Explorer, передите в CUCM и щелкните по некоторым ссылкам для генерирования трафика.

  5. Вернитесь к главному окну Fiddler и выберите один из Кадров, где Результат 200 (успех), и вы видите Kerberos как Механизм аутентификации



  6. Если Тип проверки подлинности является NTLM, то вы видите, Выполняют согласование - NTLMSSP в начале кадра, как показано здесь.

Устранение неполадок

Если вся конфигурация и шаги проверки завершена, как описано в этом документе, и у вас все еще есть проблемы входа в систему, то необходимо консультироваться с Active Directory Microsoft Windows / AD Администратор FS.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118773