jpolisher's IT-wiki

User Tools

Site Tools

Trace: установка_1с_в_debian_linux форматы_логинов_exchange создание_dag nps_как_radius-прокси
установка_роли_adfs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
установка_роли_adfs [2025/03/25 12:50] jpустановка_роли_adfs [2025/03/26 07:27] (current) jp
Line 70: Line 70:
 ;#; ;#;
  
 +:!: Именно от этой записи будет стартовать windows-служба //ADFS//
  
 В случае, если мы не создаём отказоустойчивую ферму серверов (с SQL), можем оставить в качестве БД //Windows Internal Database//. Всё остальное на этапе конфигурирования оставляем по умолчанию.  В случае, если мы не создаём отказоустойчивую ферму серверов (с SQL), можем оставить в качестве БД //Windows Internal Database//. Всё остальное на этапе конфигурирования оставляем по умолчанию. 
Line 77: Line 78:
 При появлении ошибок конфигурирования - установщик роли предложит повторить процедуру конфигурирования. В этом случае на одном из этапов будет возможность перезаписать текущую конфигурацию //ADFS//. Можно это сделать. При появлении ошибок конфигурирования - установщик роли предложит повторить процедуру конфигурирования. В этом случае на одном из этапов будет возможность перезаписать текущую конфигурацию //ADFS//. Можно это сделать.
  
-{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell}}+5. А что с сертификатом подписи (signing certificate)? 
 + 
 +Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию //ADFS// генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия. 
 + 
 +На сервере //ADFS// выполняем: 
 + 
 +<WRAP prewrap> 
 +<code> 
 +Set-AdfsProperties -CertificateDuration 3650 
 +Set-ADFSProperties -AutoCertificateRollover $true 
 +Update-AdfsCertificate -CertificateType Token-Decrypting 
 +Update-AdfsCertificate -CertificateType Token-Signing  
 +</code> 
 +</WRAP> 
 + 
 +Теперь в консоли управления //ADFS// на вкладке сертификаты мы скорее всего обнаружим два сертификата. При этом, первый сертификат, сгенерированный //ADFS// при инсталляции будет установлен в качестве //primary//, а только что сгенерированный на 10 лет - //secondary//. Функция //set as primary// будет не активна. Для того, чтобы мы могли вручную установить новый сертификат как //primary// - необходимо выключить автоматический выпуск сертификатов. Сделаем это командой: 
 + 
 +   Set-ADFSProperties -AutoCertificateRollover $false 
 +Управление сертификатами в консоли: 
 + 
 +;#; 
 +{{:wiki:adfs_signing_certs_console.jpg?600|}} 
 +;#; 
 + 
 +После установки нового сертификата как //primary// - старый можно удалить из консоли //ADFS//.  
 + 
 +6. Из данной же консоли можно выгрузить сертификат и установить, к примеру, на Exchange-сервер (данные сертификаты необходио устанавливать в доверенные корневые центры сертификации). 
 + 
 +7. Проверить работу //ADFS// можно так:  
 + 
 +Открыть в браузере URL: https://adfs.arasaka.local/federationmetadata/2007-06/federationmetadata.xml 
 +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell Exchange}}
установка_роли_adfs.1742907017.txt.gz · Last modified: 2025/03/25 12:50 by jp