Безопасность и VPN : Kerberos

Kerberos с ADFS 2.0 для конечного пользователя SSO SAML для примера конфигурации Jabber

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить Kerberos с Active Directory Federation Services (ADFS) 2.0.

Внесенный Raees Shaikh, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Конфигурация Единой точки входа (SSO) Языка разметки утверждений безопасности (SAML) Конечного пользователя требует, чтобы Kerberos был настроен, чтобы позволить Конечному пользователю SSO SAML для Jabber для работы с аутентификацией в домене. Когда SSO SAML внедрен с Kerberos, Протокол LDAP обрабатывает всю авторизацию и пользовательскую синхронизацию, в то время как Kerberos управляет аутентификацией. Kerberos является протоколом аутентификации, который предназначается, чтобы использоваться в сочетании с поддерживающим LDAP экземпляром.

На Microsoft Windows и машинах Macintosh, которые соединены с доменом Active Directory, пользователи могут эффективно войти в Cisco Jabber без требования для ввода имени пользователя или пароля, и они даже не видят экран входа в систему. Пользователи, которые не зарегистрированы в домен на их компьютерах все еще, видят, что формируется стандартный вход в систему.

Поскольку аутентификация использует одиночный маркер, который передают от операционных систем, никакое перенаправление не требуется. Маркер проверен против настроенного Ключевого контроллера домена (KDC), и если это допустимо, в пользователя входят. 

!--- конфигурацию

Вот процедура для настройки Kerberos с ADFS 2.0.

  1. Установите Microsoft Windows server 2008 R2 на машине.

  2. Установите Доменные сервисы Active Directory (ADDS) и ADFS на той же машине.

  3. Установите информационные сервисы интернета (IIS) на машине R2-installed Microsoft Windows server 2008 года.

  4. Создайте подписанный сертификат для IIS.

  5. Импортируйте подписанный сертификат в IIS и используйте его в качестве серверного сертификата HTTPS.

  6. Установите Microsoft Windows7 на другой машине и используйте его в качестве клиента.

    • Измените Сервер доменных имен (DNS) на машину, где вы установили ADDS.

    • Добавьте эту машину к домену, который вы создали в установке ADDS.

      1. Перейдите запускаются.
      2. Щелкните правой кнопкой мыши компьютер.
      3. Нажмите Properties.
      4. Нажмите Change Settings на правой стороне окна.
      5. Перейдите на вкладку «Имя компьютера».
      6. Нажмите кнопку «Изменить».
      7. Добавьте домен, который вы создали.



  7. Проверьте, генерирует ли Сервис Kerberos на обеих машинах.

    1. Войдите как администратор на сервере и откройте командную строку. Затем выполните эти команды:

      • cd \windows\System32
      • Билеты Klist



    2. Войдите как пользователь домена на клиентском компьютере и выполните те же команды.



  8. Создайте идентичность Kerberos ADFS на машине, где вы установили ADDS.

    Администратор Microsoft Windows вошел в домен Microsoft Windows (как <доменное имя> \administrator), например на контроллере домена Microsoft Windows, создает идентичность Kerberos ADFS. Сервис HTTP ADFS должен иметь идентичность Kerberos, названную Сервисным главным именем (SPN) в этом формате: HTTP/DNS_name_of_ADFS_server.

    Это название должно быть сопоставлено с Пользователем Active Directory, который представляет экземпляр сервера HTTP ADFS. Используйте Microsoft Windows setspn утилита, которая должна быть доступной по умолчанию на Microsoft Windows 2008 Server.

    Процедура
    • Зарегистрируйте SPNs для сервера ADFS. На Контроллере доменов Active Directory, выполненном setspn команда.

      Например, когда хост ADFS является adfs01. сША. renovations.com и домен Active Directory являются US.RENOVATIONS.COM, команда:

        setspn -a HTTP/adfs01.us.renovations.com <ActiveDirectory user>
        setspn -a HTTP/adfs01 <ActiveDirectory user>


      HTTP / часть SPN применяется, даже при том, что к серверу ADFS, как правило, обращается Уровень защищенных сокетов (SSL), который является HTTPS.

    • Проверьте, что SPNs для сервера ADFS должным образом созданы с setspn командой и просматривают выходные данные.

        setspn -L <ActiveDirectory user>




  9. Настройте настройки обозревателя Клиента Microsoft Windows.

    1. Перейдите к Программным средствам> InternetOptions> Усовершенствованный для включения Интегрированной Проверки подлинности Windows.

    2. Проверьте флажок Enable Integrated Windows Authentication:



    3. Перейдите к Программным средствам> интернет-> Security Опций> Локальный Intranet> Пользовательский уровень... для выбора Automatic logon только в зоне Интранет.



    4. Перейдите к Программным средствам> интернет-> Security Опций> Локальный Intranet> Узлы> Усовершенствованный для добавления Обнаружения несанкционированного доступа и Предотвращения (IDP) URL к узлам Локального Intranet.

      Примечание: Проверьте все флажки в диалоговом окне Локального Intranet и нажмите Вкладку Дополнительно.





    5. Перейдите к Tools> Security> Надежные узлы> Узлы для добавления имен хоста CUCM к Надежным узлам:

Проверка

Этот раздел объясняет, как проверить, какая аутентификация (Kerberos или LAN Manager NT (NTLM) аутентификация) используется.

  1. Загрузите Программное средство Скрипача к своему клиентскому компьютеру и установите его.

  2. Закройте все окна Internet Explorer.

  3. Выполните Программное средство Скрипача и проверьте, что Вариант трафика Перехвата включен под Меню Файл.

    Скрипач работает как транзитный прокси между клиентским компьютером и сервером и слушает весь трафик, который временно устанавливает ваши Параметры настройки Internet Explorer как это:



  4. Открытый Internet Explorer, просмотрите в свой URL Сервера Управления отношениями с клиентами (CRM) и щелкните по нескольким ссылкам для генерирования трафика.

  5. Вернитесь к главному окну Fiddler и выберите один из Кадров, где Результат 200 (успех):



    Если Тип проверки подлинности является NTLM, то вы видите, Выполняют согласование - NTLMSSP в начале кадра, как показано здесь:

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.



Document ID: 118841