Lab Windows Server 2016 Bài 6 - Triển Khai AD FS

Active Directory Federation Service (AD FS) cho phép Quản lý truy cập và nhận dạng liên kết bằng cách chia sẻ an toàn. ADFS cho phép chia sẻ thông tin nhận dạng một cách an toàn bên ngoài hệ thống của công ty, để truy cập các tài nguyên ứng dụng web được lưu trữ bởi các tổ chức đã thiết lập mối quan hệ.. AD FS mở rộng khả năng sử dụng chức năng đăng nhập một lần (single sign-on) có sẵn doanh nghiệp. ADFS cho phép các tổ chức tạo “mối quan hệ tin cậy” với nhau trên internet, cho phép AD mở rộng xác định danh tính được thiết lập trong môi trường tại chỗ (on-prem) sang môi trường trên đám mây.

Exercise 1: Cài Đặt AD FS và Cấu Hình Web Application

Exercise 1: DC1 và DC2 thực hiện giống nhau

Bài lab hướng dẫn thực hiện trên DC1, khi thực hiện trên DC2 bạn sử dụng các thông số phù hợp với DC2

Task 1: Tạo DNS record cho AD FS

Tại máy DC1, vào run gõ lệnh DNSMGMT.MSC.
Tại DNS Manager, chọn DC1, chọn Forward Lookup Zones, phải chuột vào tên domain của bạn (trong bài lab này là ctl.vn) chọn New Host (A or AAAA).

3. Cửa sổ New Host, trong phần Name nhập vào adfs, trong phần IP address nhập vào 192.168.1.2, ấn Add Host.

4. Ấn Ok, ấn Done. Đóng DNS Manager

Task 2 Cài và cấu hình Active Directory Certificate Services

Task 2: Cài và cấu hình Active Directory Certificate Services

Tại máy DC1, Vào Server Manager, chọn Add roles and features
Màn hình Before You Begin ấn Next.
Màn hình Select installation type ấn Next
Màn hình Select destination server, chọn option Select a server from the server pool, ấn Next.
Màn hình Select server roles, check vào Active Directory Certificate Services, ấn Add Features, ấn Next.

6. Màn hình Select features page, chọn Windows Identity Foundation 3.5, ấn next.

7. Màn hình Active DirectoryCertificate Services ấn Next

8. Màn hình Select role Services, check chọn Certification Authority và Certification Authority Web Enrollment, ấn Next

9. Màn hình Web Server Role (IIS), ấn Next

10. Màn hình Select Role Services, check chọn ASP.NET 4.6, ấn Add Features, ấn next, Next và ấn Install

11. Sau khi cài xong, chọn Configure Active Directory Certificate Services on the destination server.

12. Màn hình Credentials, ấn Next.

13. Màn hình Role Services, đánh dấu chọn Certification Authority và Certification Authority Web Enrollment, ấn Next

14. Tất cả các màn hình còn lại để các tùy chọn mạc định ấn next, cuối cùng ấn Configure và ấn Close 2 lần.

Task 3: Tạo Web Application

Máy Host, Vào foler C:\Allfiles copy folder DemoApp vào c:\inetpub\wwwroot máy Dc1
Tại máy DC1, Vào run gõ lệnh InetMgr.exe để vào Internet information services
Tại IIS, phải chuột vào Default Web Site, chọn Add Application
Màn hình Add Application, trong phần Alias nhập vào DemoApp, trong phần Physical path ấn …, chọn C:\inetpub\wwwroot\DemoApp, ấn OK

Task 4: Yêu cầu certificate cho Web server và ADFS

Tại IIS máy DC1, bên trái chọn DC1, bên phải tìm và chọn Server Certificates

2. Màn hình Server Certificates, bên phải chọn Create Domain Certificate

3. Cửa sổ Create Certificate, trong phần common name nhập vào dc1.ctl.vn (thay ctl.vn bằng tên domain của bạn), nhập đầy đủ các thông tin còn lại ấn Next

4. Màn hình Online Certification Authority, ấn Select chọn CA server của bạn (ctl-dc1-CA). trong phần Friendly name, nhập dc1.ctl.vn, ấn Finish

5. Thực hiện lại từ bước 2 đến bước 4 để yêu cầu certificate là adfs.ctl.vn. (thay ctl.vn bằng tên domain của bạn)

Task 5. Cấu hình HTTPS

Tại IIS máy DC1, phải chuột vào Default Web Site, chọn Edit Bindings,
Màn hình Site Bindings, ấn Add

3. Màn hình Add Site Binding, trong phần Type chọn https, trong phần SSL Certificate chọn dc1.ctl.vn, ấn OK, và ấn Close

Task 6. Cài AD FS

Trước khi cài AD FS trên máy DC1, bạn vào PowerShell thực hiện lệnh sau:

Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))

2. Tại máy DC1, Vào Server Manager, chọn Add roles and features

3. Màn hình Before You Begin ấn Next.

4. Màn hình Select installation type ấn Next

5. Màn hình Select destination server, chọn option Select a server from the server pool, ấn Next.

6. Màn hình Select server roles, check vào Active Directory Federation Services, ấn Next.

7. Các màn hình còn lại để mặc định ấn Next và Install.

8. Sau khi cài xong chọn Configure federation service on this server

8. Màn hình Welcome, ấn Next

9. Màn hình Connect to Active Directory Domain Services ấn Next.

10. Màn hình Specify Service Properties, trong phần SSL Certificate chọn adfs.ctl.vn, trong phần Federation Service Display Name nhập vàp ADFS Demo App, ấn Next

11. Màn hình Specify Service Account, chọn option Create a Group Managed Service Account, nhập user CTL\ADFSService, ấn Next.

12. Các màn hình còn lại ấn next, và ấn Configure, chờ cấu hình xong ấn Close và Close

13. Vào IE truy cập vào link sau, nếu truy cập được là bạn đã cài AD FS thành công.

https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml.

Task 7: Cấu Hình AD FS

Tại máy DC1, vào Server Manager, chọn Tools, và chọn AD FS Management
Màn hình AD FS, Bên trái chọn Claims Provider Trusts, phải chuột vào Active Directory, chọn Edit Claim Rules

3. Màn hình Edit Claim rules for Active directory, ấn Add Rule

4. Màn hình Select rule template, trong phần Claim rule template chọn Send LDAP Attributes as Claims, ấn Next

5. Màn hình Configure Rule, trong phần Claim rule name nhập Outbound LDAP Attributes Rule, Trong phần Attribute store chọn Active Directory, trong phần Mapping of LDAP attributes to outgoing claim types chọn các thông tin sau ấn Finish, và OK:

E-Mail-Addresses: E-Mail Address
User-Principal-Name: UPN
Display-Name: Name

Task 8: Cấu hình Web Application

Cài Windows Identity Foundation SDK 4.0 trên máy DC1 với các giá trị mặc định. (file cài ở thư mục Allfiles)
Sau khi cài xong, vào Server Manager, chọn Tools, chọn Windows Identity Foundation Federation Utility
Trong phần Application configuration location ấn Browse, chọn C:\inetpub\wwwroot\DemoApp\web.config, trong phần Application URL nhập vào https://dc01.ctl.vn/demoapp/, (thay ctl.vn bằng tên domain của bạn) ấn Next

4. Màn hình Token Service, chọn option Use an Existing STS, trong phần STS WS-Federation metadata document location, nhập vào https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml, ấn Next

5. Các màn hình còn lại để mặc định ấn next, Finish, và OK

Task 9: Cấu hình relying party trust cho claims-aware application

Tại DC1 vào PowerShell thực hiện lệnh sau

Add-ADFSRelyingPartyTrust –Name ‘CTL Demo App’ –MetadataURL ‘https://dc1.ctl.vn/demoapp/federationmetadata/2007-06/federationmetadata.xml’

2. Trở lại AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL demo App, chọn Edit Access Control Policy…,

3. Màn hình Edit access control policy, chọn Permit everyone, và ấn OK

Task 10: Cấu hình claim rules cho relying party trust

Cũng tại AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL demo App, chọn Edit Claim Issuance Policy…
Màn hình Edit Claim Issuance Policy, ấn Add Rule

3. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

4. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish

5. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

6. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

7. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through E-Mail Address, trong phần Incoming claim type chọn E-Mail Address, ấn Finish

8. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

9. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

10. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through UPN, trong phần Incoming claim type chọn UPN, ấn Finish.

11. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

12. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

13. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through Name, trong phần Incoming claim type chọn Name, ấn Finish, và OK.

Task 11. Kiểm tra truy cập vào claims-aware application.

Vào IIS, chọn Application Pool, phải chuột vào DefaultAppPool, chọn Advanced Settings…

2. Màn hình Advanced Settings, trong phần Load User Profile, chọn True, ấn OK

3. Tại máy DC1, vào IE truy cập vào https://dc1.ctl.vn/demoapp/, đăng nhập vào bằng user ctl\administrator, (thay ctl bằng tên domain của bạn)

(lưu ý phải có dấu / ở cuối link https://dc1.ctl.vn/demoapp/)

Exercise 2: Cấu hình ADFS với Partner

Lưu ý: Cả 2 máy DC1 và DC2 đã hoàn thành xong Exercise 1

Task 1. Cấu hình DNS Conditional Forwarder (Thực hiện cả 2 máy DC1 và DC2)

Tại máy DC1, vào run gõ lệnh dnsmgmt.msc để vào DNS Manager
Tại DNS Manager, phải chuột vào Conditional Forwarders, chọn New Conditional Forwarder
Màn hình New Conditional Forwarder, Trong phần DNS domain nhập vào vnseolab.com (domain của DC2), Trong phần IP Address of the master server nhập vào IP của DC2, ấn enter, và OK.
Thực hiện tương tự trên DC2 Forwarder về ctl.vn

Task 2. Cấu hình Trust Root Certificate (Thực hiện cả 2 máy DC1 và DC2)

Tại máy DC1 truy cập vào thư mục CertEnroll của máy DC2.
Double click certificate DC2.VNSEOLAB.COM_VNSEOLAB-DC2-CA (file dài nhất), ấn Open

3. Màn hình Certificate ấn Install Certificate

4. Màn hình Welcome to the Certificate Import Wizard, chọn Option Local Machine

5. Màn hình Certificate Store, chọn option Place all certificates in the following store, ấn Browse, chọn Trusted Root Certification Authorities, chọn Next, Finish, và OK

6. Tại máy DC2 truy cập vào thư mục CertEnroll của máy DC1, thực hiện lại từ bước 2 đến bước 5.

Task 3. Cấu hình Claims Provider Trust với Partner (chỉ thực hiện trên DC1)

1. Tại máy DC1, vào PowerShell thực hiện lệnh sau (Thay vnseolab.com bằng domain của bạn):

Add-AdfsClaimsProviderTrust –Name ‘VNseo App’ –MetadataUrl ‘https://dc2.vnseolab.com/federationmetadata/2007-06/federationmetadata.xml’

2. Tiếp tục thực hiện lệnh sau:

Set-AdfsProperties –IgnoreTokenBinding $true

3. Tại máy DC1, vào AD FS Management, bên trái chọn Claims Provider Trusts, phải chuột VNSeo App, chọn Edit Claim Rules.

4. Màn hình Edit Claim Rules for VNSEO App chọn Add Rule

5. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next

6. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, chọn Finish, ấn Yes và OK

Task 4. Cấu hình Relying Party Trusts (Thực hiện trên máy DC2)

Tại máy DC2, vào PowerShell thực hiện lệnh sau (thay ctl.vn bằng domain của bạn):

Add-ADFSRelyingPartyTrust –Name ‘CTL test App’ –MetadataURL ‘https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml’

2. Tại máy DC2, vào AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL test App, chọn Edit Claim Issuance Policy.

3. Màn hình Edit Claim Issuance Policy for CTL test App chọn Add Rule

4. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next

5. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish, ấn OK