jpolisher's IT-wiki

User Tools

Site Tools

Trace: форматы_логинов_exchange деплой_образов установка_1с_в_debian_linux создание_dag сброс_grace-периода nps_как_radius-прокси назначение_прав_в_vsphere установка_opendaylight
установка_роли_adfs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
установка_роли_adfs [2025/03/25 12:42] jpустановка_роли_adfs [2025/03/26 07:27] (current) jp
Line 1: Line 1:
 ===== Установка роли ADFS ===== ===== Установка роли ADFS =====
  
-1. В первую очередь для работы //ADFS// необходимо создать сервисную учётную запись на контроллере домена. +1. В первую очередь (ещё перед установкой роли) для работы //ADFS// необходимо создать сервисную учётную запись на контроллере домена. 
  
 На КД от имени администратора запускаем PowerShell и выполняем: На КД от имени администратора запускаем PowerShell и выполняем:
Line 8: Line 8:
        
    New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName    New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName
-//YouDnsHostName// - меняем на хостнейм adfs-сервера и имя службы ADFS для подключения  (//ServicePrincipalNames//).+//YouDnsHostName// - меняем на хостнейм adfs-сервера и имя службы //ADFS// для подключения  (//ServicePrincipalNames//).
  
-2. Для ADFS используется два основных сертификата. +2. Для //ADFS// используется два основных сертификата. 
  
   * **Сертификат служб.** Этот сертификат используют клиенты для коннекта (обычно используется сертификат, выданный внутренним, либо внешним CA).    * **Сертификат служб.** Этот сертификат используют клиенты для коннекта (обычно используется сертификат, выданный внутренним, либо внешним CA). 
Line 17: Line 17:
 Для начала установки нам необходимо сгенерировать сертификат служб. Для этих целей хорошо подходит шаблон //Web Server//. Можно сделать его дубликат, в котором желательно на всякий случай установить возможность экспорта закрытого ключа, а также выдать в настройках безопасности право на //enroll// для машинного аккаунта сервера //ADFS//. Больше ничего специфического менять не требуется.  Для начала установки нам необходимо сгенерировать сертификат служб. Для этих целей хорошо подходит шаблон //Web Server//. Можно сделать его дубликат, в котором желательно на всякий случай установить возможность экспорта закрытого ключа, а также выдать в настройках безопасности право на //enroll// для машинного аккаунта сервера //ADFS//. Больше ничего специфического менять не требуется. 
  
-:!: Примечание: для работы ADFS лучше издавать RCA сертификат, с ECC, к примеру, возникает ошибка при установке. Ошибка имеет следующее содержание:+:!: Примечание: для работы //ADFS// лучше издавать RCA сертификат, т.к. с ECC, к примеру, возникает ошибка при установке. Ошибка имеет следующее содержание:
  
    "ID8025 Parameter name: value"    "ID8025 Parameter name: value"
Line 46: Line 46:
 ;#; ;#;
  
-Если мы работаем под администратором домена - на следующем этапе подтверждаем выбор собственной УЗ. +Если мы работаем под администратором домена - на следующем этапе подтверждаем выбор собственной УЗ, либо вводит креды админа домена
  
 ;#; ;#;
Line 70: Line 70:
 ;#; ;#;
  
 +:!: Именно от этой записи будет стартовать windows-служба //ADFS//
 +
 +В случае, если мы не создаём отказоустойчивую ферму серверов (с SQL), можем оставить в качестве БД //Windows Internal Database//. Всё остальное на этапе конфигурирования оставляем по умолчанию. 
 +
 +:!: При появлении ошибки с таймаутом - можно проверить - достаточно ли серверу //ADFS// памяти и ресурсов. При тестировании такая ошибка возникала при установке сервера с минимально рекомендованным объемом RAM - 2ГБ. 
 +
 +При появлении ошибок конфигурирования - установщик роли предложит повторить процедуру конфигурирования. В этом случае на одном из этапов будет возможность перезаписать текущую конфигурацию //ADFS//. Можно это сделать.
 +
 +5. А что с сертификатом подписи (signing certificate)?
 +
 +Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию //ADFS// генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия.
 +
 +На сервере //ADFS// выполняем:
 +
 +<WRAP prewrap>
 +<code>
 +Set-AdfsProperties -CertificateDuration 3650
 +Set-ADFSProperties -AutoCertificateRollover $true
 +Update-AdfsCertificate -CertificateType Token-Decrypting
 +Update-AdfsCertificate -CertificateType Token-Signing 
 +</code>
 +</WRAP>
 +
 +Теперь в консоли управления //ADFS// на вкладке сертификаты мы скорее всего обнаружим два сертификата. При этом, первый сертификат, сгенерированный //ADFS// при инсталляции будет установлен в качестве //primary//, а только что сгенерированный на 10 лет - //secondary//. Функция //set as primary// будет не активна. Для того, чтобы мы могли вручную установить новый сертификат как //primary// - необходимо выключить автоматический выпуск сертификатов. Сделаем это командой:
 +
 +   Set-ADFSProperties -AutoCertificateRollover $false
 +Управление сертификатами в консоли:
 +
 +;#;
 +{{:wiki:adfs_signing_certs_console.jpg?600|}}
 +;#;
 +
 +После установки нового сертификата как //primary// - старый можно удалить из консоли //ADFS//
 +
 +6. Из данной же консоли можно выгрузить сертификат и установить, к примеру, на Exchange-сервер (данные сертификаты необходио устанавливать в доверенные корневые центры сертификации).
 +
 +7. Проверить работу //ADFS// можно так: 
 +
 +Открыть в браузере URL: https://adfs.arasaka.local/federationmetadata/2007-06/federationmetadata.xml
 +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell Exchange}}
установка_роли_adfs.1742906548.txt.gz · Last modified: 2025/03/25 12:42 by jp