Lab Windows Server 2016 Bài 6 – Triển Khai AD FS

Active Directory Federation Service (AD FS) cho phép Quản lý truy cập và nhận dạng liên kết bằng cách chia sẻ an toàn. ADFS cho phép chia sẻ thông tin nhận dạng một cách an toàn bên ngoài hệ thống của công ty, để truy cập các tài nguyên ứng dụng web được lưu trữ bởi các tổ chức đã thiết lập mối quan hệ.. AD FS mở rộng khả năng sử dụng chức năng đăng nhập một lần (single sign-on) có sẵn doanh nghiệp. ADFS cho phép các tổ chức tạo “mối quan hệ tin cậy” với nhau trên internet, cho phép AD mở rộng xác định danh tính được thiết lập trong môi trường tại chỗ (on-prem) sang môi trường trên đám mây.

Exercise 1: Cài Đặt AD FS và Cấu Hình Web Application 

Exercise 1: DC1 và DC2 thực hiện giống nhau

Bài lab hướng dẫn thực hiện trên DC1, khi thực hiện trên DC2 bạn sử dụng các thông số phù hợp với DC2

Task 1: Tạo DNS record cho AD FS

Task 1: Tạo DNS record cho AD FS 

  1. Tại máy DC1, vào run gõ lệnh DNSMGMT.MSC.
  2. Tại DNS Manager, chọn DC1, chọn Forward Lookup Zones, phải chuột vào tên domain của bạn (trong bài lab này là ctl.vn) chọn New Host (A or AAAA).

AD FS & Web Application 

3. Cửa sổ New Host, trong phần Name nhập vào adfs, trong phần IP address nhập vào 192.168.1.2, ấn Add Host.

4. Ấn Ok, ấn Done. Đóng DNS Manager

AD FS & Web Application 

Task 2 Cài và cấu hình Active Directory Certificate Services

Task 2: Cài và cấu hình Active Directory Certificate Services 

  1. Tại máy DC1, Vào Server Manager, chọn Add roles and features
  2. Màn hình Before You Begin ấn Next.
  3. Màn hình Select installation type ấn Next
  4. Màn hình Select destination server, chọn option Select a server from the server pool, ấn Next.
  5. Màn hình Select server roles, check vào Active Directory Certificate Services, ấn Add Features, ấn Next.

AD FS & Web Application 

6. Màn hình Select features page, chọn Windows Identity Foundation 3.5, ấn next.

7. Màn hình Active DirectoryCertificate Services ấn Next

AD FS & Web Application 

8. Màn hình Select role Services, check chọn Certification AuthorityCertification Authority Web Enrollment, ấn Next

AD FS & Web Application 

9. Màn hình Web Server Role (IIS), ấn Next

10. Màn hình Select Role Services, check chọn ASP.NET 4.6, ấn Add Features, ấn next, Next và ấn Install

AD FS & Web Application 

11. Sau khi cài xong, chọn Configure Active Directory Certificate Services on the destination server.

12. Màn hình Credentials, ấn Next.

13.  Màn hình Role Services, đánh dấu chọn Certification AuthorityCertification Authority Web Enrollment, ấn Next

14. Tất cả các màn hình còn lại để các tùy chọn mạc định ấn next, cuối cùng ấn Configure và ấn Close 2 lần.

AD FS & Web Application

Task 3: Tạo Web Application

Task 3: Tạo Web Application

  1. Máy Host, Vào foler C:\Allfiles copy folder DemoApp vào c:\inetpub\wwwroot máy Dc1
  2. Tại máy DC1, Vào run gõ lệnh InetMgr.exe để vào Internet information services
  3. Tại IIS, phải chuột vào Default Web Site, chọn Add Application
  4. Màn hình Add Application, trong phần Alias nhập vào DemoApp, trong phần Physical path ấn …, chọn C:\inetpub\wwwroot\DemoApp, ấn OK

AD FS & Web Application 

Task 4: Yêu cầu certificate cho Web server và ADFS

Task 4: Yêu cầu certificate cho Web server và ADFS

  1. Tại IIS máy DC1, bên trái chọn DC1, bên phải tìm và chọn Server Certificates

AD FS & Web Application 

2. Màn hình Server Certificates, bên phải chọn Create Domain Certificate

AD FS & Web Application 

3. Cửa sổ Create Certificate, trong phần common name nhập vào dc1.ctl.vn (thay ctl.vn bằng tên domain của bạn), nhập đầy đủ các thông tin còn lại ấn Next

AD FS & Web Application 

4.  Màn hình Online Certification Authority, ấn Select chọn CA server của bạn (ctl-dc1-CA). trong phần Friendly name, nhập dc1.ctl.vn, ấn Finish

AD FS & Web Application 

5. Thực hiện lại từ bước 2 đến bước 4 để yêu cầu certificate là adfs.ctl.vn. (thay ctl.vn bằng tên domain của bạn)

AD FS & Web Application 

Task 5. Cấu hình HTTPS

Task 5. Cấu hình HTTPS

  1. Tại IIS máy DC1, phải chuột vào Default Web Site, chọn Edit Bindings,
  2. Màn hình Site Bindings, ấn Add

AD FS & Web Application 

3. Màn hình Add Site Binding, trong phần Type chọn https, trong phần SSL Certificate chọn dc1.ctl.vn, ấn OK, và ấn Close

AD FS & Web Application 

Task 6. Cài AD FS

Task 6. Cài AD FS

  1. Trước khi cài AD FS trên máy DC1, bạn vào PowerShell thực hiện lệnh sau:

Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10)) 

2. Tại máy DC1, Vào Server Manager, chọn Add roles and features

3. Màn hình Before You Begin ấn Next.

4. Màn hình Select installation type ấn Next

5. Màn hình Select destination server, chọn option Select a server from the server pool, ấn Next.

6. Màn hình Select server roles, check vào Active Directory  Federation Services, ấn Next.

AD FS & Web Application 

7. Các màn hình còn lại để mặc định ấn NextInstall.

8. Sau khi cài xong chọn Configure federation service on this server

AD FS & Web Application 

8.  Màn hình Welcome, ấn Next

9.  Màn hình Connect to Active Directory Domain Services ấn Next.

10.  Màn hình Specify Service Properties, trong phần SSL Certificate chọn adfs.ctl.vn, trong phần Federation Service Display Name nhập vàp ADFS Demo App, ấn Next

AD FS & Web Application 

11. Màn hình Specify Service Account, chọn option Create a Group Managed Service Account, nhập user CTL\ADFSService, ấn Next.

12.  Các màn hình còn lại ấn next, và ấn Configure, chờ cấu hình xong ấn CloseClose

13. Vào IE truy cập vào link sau, nếu truy cập được là bạn đã cài AD FS thành công.

https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml.

AD FS & Web Application 

Task 7: Cấu Hình AD FS

Task 7: Cấu Hình AD FS

  1. Tại máy DC1, vào Server Manager, chọn Tools, và chọn AD FS Management
  2. Màn hình AD FS, Bên trái chọn Claims Provider Trusts, phải chuột vào Active Directory, chọn Edit Claim Rules

AD FS & Web Application 

3. Màn hình Edit Claim rules for Active directory, ấn Add Rule

4. Màn hình Select rule template, trong phần Claim rule template chọn Send LDAP Attributes as Claims, ấn Next

5. Màn hình Configure Rule, trong phần Claim rule name nhập Outbound LDAP Attributes Rule, Trong phần Attribute store chọn Active Directory, trong phần Mapping of LDAP attributes to outgoing claim types chọn các thông tin sau ấn Finish, và OK:

  • E-Mail-Addresses: E-Mail Address
  • User-Principal-Name: UPN
  • Display-Name: Name

cau hinh AD FS

Task 8: Cấu hình Web Application

Task 8: Cấu hình Web Application

  1. Cài Windows Identity Foundation SDK 4.0 trên máy DC1 với các giá trị mặc định. (file cài ở thư mục Allfiles)
  2. Sau khi cài xong, vào Server Manager, chọn Tools, chọn Windows Identity Foundation Federation Utility
  3. Trong phần Application configuration location ấn Browse, chọn C:\inetpub\wwwroot\DemoApp\web.config, trong phần Application URL nhập vào https://dc01.ctl.vn/demoapp/, (thay ctl.vn bằng tên domain của bạn) ấn Next

cau hinh AD FS

4. Màn hình Token Service, chọn option Use an Existing STS, trong phần STS WS-Federation metadata document location, nhập vào https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml, ấn Next

5. Các màn hình còn lại để mặc định ấn next, Finish, và OK

cau hinh AD FS

Task 9: Cấu hình relying party trust cho claims-aware application

Task 9: Cấu hình relying party trust cho claims-aware application 

  1. Tại DC1 vào PowerShell thực hiện lệnh sau

Add-ADFSRelyingPartyTrust –Name ‘CTL Demo App’ –MetadataURL ‘https://dc1.ctl.vn/demoapp/federationmetadata/2007-06/federationmetadata.xml’ 

2. Trở lại AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL demo App, chọn Edit Access Control Policy…,

3. Màn hình Edit access control policy, chọn Permit everyone, và ấn OK

cau hinh AD FS

Task 10: Cấu hình claim rules cho relying party trust

Task 10: Cấu hình claim rules cho relying party trust 

  1. Cũng tại AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL demo App, chọn Edit Claim Issuance Policy
  2. Màn hình Edit Claim Issuance Policy, ấn Add Rule

cau hinh AD FS

3. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

cau hinh AD FS

4. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish

cau hinh AD FS

5. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

6. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

7. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through E-Mail Address, trong phần Incoming claim type chọn E-Mail Address, ấn Finish

cau hinh AD FS

8. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

9. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

10. Màn hình Configure Rule, Trong phần Claim rule name nhập vào  Pass through UPN, trong phần Incoming claim type chọn UPN, ấn Finish.

cau hinh AD FS

11. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule

12. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next

13. Màn hình Configure Rule, Trong phần Claim rule name nhập vào  Pass through Name, trong phần Incoming claim type chọn Name, ấn Finish, và OK.

cau hinh AD FS

Task 11. Kiểm tra truy cập vào claims-aware application.

Task 11. Kiểm tra truy cập vào claims-aware application.

  1. Vào IIS, chọn Application Pool, phải chuột vào DefaultAppPool, chọn Advanced Settings…

cau hinh AD FS

2. Màn hình Advanced Settings, trong phần Load User Profile, chọn True, ấn OK

cau hinh AD FS

3. Tại máy DC1, vào IE truy cập vào https://dc1.ctl.vn/demoapp/, đăng nhập vào bằng user ctl\administrator, (thay ctl bằng tên domain của bạn)

(lưu ý phải có dấu / ở cuối link https://dc1.ctl.vn/demoapp/)

cau hinh AD FS

Exercise 2: Cấu hình ADFS với Partner 

Lưu ý: Cả 2 máy DC1 và DC2 đã hoàn thành xong Exercise 1

Task 1. Cấu hình DNS Conditional Forwarder (Thực hiện cả 2 máy DC1 và DC2)

 Task 1. Cấu hình DNS Conditional Forwarder (Thực hiện cả 2 máy DC1 và DC2) 

  1. Tại máy DC1, vào run gõ lệnh dnsmgmt.msc để vào DNS Manager
  2. Tại DNS Manager, phải chuột vào Conditional Forwarders, chọn New Conditional Forwarder
  3. Màn hình New Conditional Forwarder, Trong phần DNS domain nhập vào vnseolab.com (domain của DC2), Trong phần IP Address of the master server nhập vào IP của DC2, ấn enter, và OK.
  4. Thực hiện tương tự trên DC2 Forwarder về ctl.vn

ADFS with Partner

Task 2. Cấu hình Trust Root Certificate (Thực hiện cả 2 máy DC1 và DC2)

Task 2. Cấu hình Trust Root Certificate (Thực hiện cả 2 máy DC1 và DC2)

  1. Tại máy DC1 truy cập vào thư mục CertEnroll của máy DC2.
  2. Double click certificate DC2.VNSEOLAB.COM_VNSEOLAB-DC2-CA (file dài nhất), ấn Open

ADFS với Partner

3. Màn hình Certificate ấn Install Certificate

4. Màn hình Welcome to the Certificate Import Wizard, chọn Option Local Machine

5. Màn hình Certificate Store, chọn option Place all certificates in the following store, ấn Browse, chọn Trusted Root Certification Authorities, chọn Next, Finish, OK 

6. Tại máy DC2 truy cập vào thư mục CertEnroll của máy DC1, thực hiện lại từ bước 2 đến bước 5.

ADFS với Partner

Task 3. Cấu hình Claims Provider Trust với Partner (chỉ thực hiện trên DC1)

Task 3. Cấu hình Claims Provider Trust với Partner (chỉ thực hiện trên DC1)

1. Tại máy DC1, vào PowerShell thực hiện lệnh sau (Thay vnseolab.com bằng domain của bạn):

Add-AdfsClaimsProviderTrust –Name ‘VNseo App’ –MetadataUrl ‘https://dc2.vnseolab.com/federationmetadata/2007-06/federationmetadata.xml’ 

2. Tiếp tục thực hiện lệnh sau:

Set-AdfsProperties –IgnoreTokenBinding $true

3.  Tại máy DC1, vào AD FS Management, bên trái chọn Claims Provider Trusts, phải chuột VNSeo App, chọn Edit Claim Rules.

ADFS với Partner

4. Màn hình Edit Claim Rules for VNSEO App chọn Add Rule

5. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next

6. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, chọn Finish, ấn Yes OK

ADFS với Partner

Task 4. Cấu hình Relying Party Trusts (Thực hiện trên máy DC2)

Task 4. Cấu hình Relying Party Trusts (Thực hiện trên máy DC2)

  1. Tại máy DC2, vào PowerShell thực hiện lệnh sau (thay ctl.vn bằng domain của bạn):

Add-ADFSRelyingPartyTrust –Name ‘CTL test App’ –MetadataURL ‘https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml’ 

2. Tại máy DC2, vào AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL test App, chọn Edit Claim Issuance Policy.

ADFS với Partner

3. Màn hình Edit Claim Issuance Policy for CTL test App chọn Add Rule

4. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next

ADFS với Partner

5. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish, ấn OK

ADFS với Partner

6. Tại máy DC2, vào AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL test App, chọn Edit Access Control Policy

ADFS với Partner

7. Màn hình Edit Access Control Policy for CTL test App, chọn Permit Everyone, sau đó chọn OK.

ADFS với Partner

Task 5. Kiểm Tra ADFS

Task 5. Kiểm Tra ADFS

  1. Tại máy DC2, vào IE nhập vào https://adfs.ctl.vn/demoapp/, chọn VNseo App.
  2. Nhập vào vnseolab\Administrator và password

ADFS với Partner

3. Truy cập thành công vào application trên máy DC1 thành công.

4. Sử dụng user trên máy DC2 đăng nhập thành công vào App trên máy DC1, triển khai chứng thực liên kết thành công.

ADFS với Partner

Hoàn tất bài lab

Lab Windows Server 2016 Bài 7

Leave a Reply