Безопасность и VPN : Kerberos

Kerberos с ADFS 2.0 для конечного пользователя SSO SAML для Примера конфигурации Jabber

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить Kerberos с Active Directory Federation Services (ADFS) 2.0.

Внесенный Raees Shaikh, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Конфигурация Единой точки входа (SSO) Языка разметки утверждений безопасности (SAML) Конечного пользователя требует, чтобы Kerberos был настроен, чтобы позволить Конечному пользователю SSO SAML для Jabber для работы с аутентификацией в домене. Когда SSO SAML внедрен с Kerberos, Протокол LDAP обрабатывает всю авторизацию и пользовательскую синхронизацию, в то время как Kerberos управляет аутентификацией. Kerberos является протоколом аутентификации, который предназначается, чтобы использоваться в сочетании с поддерживающим LDAP экземпляром.

На Microsoft Windows и машинах Macintosh, которые соединены с доменом Active Directory, пользователи могут эффективно войти в Cisco Jabber без требования для ввода имени пользователя или пароля, и они даже не видят экран входа в систему. Пользователи, которые не зарегистрированы в домен на их компьютерах все еще, видят, что формируется стандартный вход в систему.

Поскольку аутентификация использует одиночный маркер, который передают от операционных систем, никакое перенаправление не требуется. Маркер проверен против настроенного Ключевого контроллера домена (KDC), и если это допустимо, в пользователя входят. 

Конфигурация

Вот процедура для настройки Kerberos с ADFS 2.0.

  1. Microsoft Windows server установки 2008 R2 на машине.

  2. Доменные сервисы Active Directory (ADDS) установки и ADFS на той же машине.

  3. Информационные сервисы интернета (IIS) установки на машине R2-installed Microsoft Windows server 2008 года.

  4. Создайте подписанный сертификат для IIS.

  5. Импортируйте подписанный сертификат в IIS и используйте его в качестве серверного сертификата HTTPS.

  6. Установите Microsoft Windows7 на другой машине и используйте его в качестве клиента.

    • Измените Сервер доменных имен (DNS) на машину, где вы установили ADDS.

    • Добавьте эту машину к домену, который вы создали в установке ADDS.

      1. Перейдите запускаются.
      2. Щелкните правой кнопкой мыши компьютер.
      3. Нажмите Properties.
      4. Нажмите Change Settings на правой стороне окна.
      5. Перейдите на вкладку «Имя компьютера».
      6. Нажмите кнопку «Изменить».
      7. Добавьте домен, который вы создали.



  7. Проверьте, генерирует ли Сервис Kerberos на обеих машинах.

    1. Войдите как администратор на сервере и откройте командную строку. Затем выполните эти команды:

      • cd \windows\System32
      • Билеты Klist



    2. Войдите как пользователь домена на клиентском компьютере и выполните те же команды.



  8. Создайте идентичность Kerberos ADFS на машине, где вы установили ADDS.

    Администратор Microsoft Windows вошел в домен Microsoft Windows (как <доменное имя> \administrator), например на контроллере домена Microsoft Windows, создает идентичность Kerberos ADFS. Сервис HTTP ADFS должен иметь идентичность Kerberos, названную Сервисным главным именем (SPN) в этом формате: HTTP/DNS_name_of_ADFS_server.

    Это название должно быть сопоставлено с Пользователем Active Directory, который представляет экземпляр HTTP server ADFS. Используйте Microsoft Windows setspn утилита, которая должна быть доступной по умолчанию на Microsoft Windows 2008 Server.

    Процедура
    • Зарегистрируйте SPNs для сервера ADFS. На Контроллере доменов Active Directory, выполненном setspn команда.

      Например, когда хост ADFS является adfs01. сША. renovations.com и домен Active Directory являются US.RENOVATIONS.COM, команда:

        setspn -a HTTP/adfs01.us.renovations.com <ActiveDirectory user>
        setspn -a HTTP/adfs01 <ActiveDirectory user>


      HTTP / часть SPN применяется, даже при том, что к серверу ADFS, как правило, обращается Уровень защищенных сокетов (SSL), который является HTTPS.

    • Проверьте, что SPNs для сервера ADFS должным образом созданы с setspn, дают команду и просматривают выходные данные.

        setspn -L <ActiveDirectory user>




  9. Настройте настройки обозревателя Клиента Microsoft Windows.

    1. Перейдите к Программным средствам> InternetOptions> Усовершенствованный для включения Интегрированной Проверки подлинности Windows.

    2. Проверьте флажок Enable Integrated Windows Authentication:



    3. Перейдите к Программным средствам> интернет-> Security Опций> Локальный Intranet> Пользовательский уровень... для выбора Automatic logon только в зоне Интранет.



    4. Перейдите к Программным средствам> интернет-> Security Опций> Локальный Intranet> Сайты> Усовершенствованный для добавления Обнаружения несанкционированного доступа и Предотвращения (IDP) URL к сайтам Локального Intranet.

      Примечание: Проверьте все флажки в диалоговом окне Локального Intranet и нажмите Вкладку Дополнительно.





    5. Перейдите к Tools> Security> Надежные узлы> Сайты для добавления имен хоста CUCM к Надежным узлам:

Проверка.

Этот раздел объясняет, как проверить, какая аутентификация (Kerberos или LAN Manager NT (NTLM) аутентификация) используется.

  1. Загрузите Программное средство Скрипача к клиентскому компьютеру и установите его.

  2. Закройте все окна Internet Explorer.

  3. Выполните Программное средство Скрипача и проверьте, что Вариант трафика Перехвата включен под Меню Файл.

    Скрипач работает как транзитный прокси между клиентским компьютером и сервером и слушает весь трафик, который временно устанавливает Параметры настройки Internet Explorer как это:



  4. Откройте Internet Explorer, передите в URL Сервера Управления отношениями с клиентами (CRM) и щелкните по нескольким ссылкам для генерирования трафика.

  5. Вернитесь к главному окну Fiddler и выберите один из Кадров, где Результат 200 (успех):



    Если Тип проверки подлинности является NTLM, то вы видите, Выполняют согласование - NTLMSSP в начале кадра, как показано здесь:

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118841