Kerberos مع ADFS 2.0 للمستخدم النهائي SAML SSO لمثال تكوين Jabber

المقدمة

يصف هذا المستند كيفية تكوين Kerberos باستخدام خدمات إتحاد Active Directory (ADFS) 2.0.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتطلب تكوين تسجيل الدخول الأحادي (SSO) الخاص ب تأكيد أمان المستخدم النهائي تكوين Kerberos للسماح للمستخدم النهائي SAML SSO ل Jabber بالعمل مع مصادقة المجال. عند تنفيذ SAML SSO باستخدام Kerberos، يقوم البروتوكول الخفيف للوصول إلى الدليل (LDAP) بمعالجة كل التخويل ومزامنة المستخدم، بينما يقوم Kerberos بإدارة المصادقة. Kerberos هو بروتوكول مصادقة تم إستخدامه بالاقتران مع المثيل الذي تم تمكين LDAP به.

على أجهزة Microsoft Windows و Macintosh المرتبطة بمجال Active Directory، يمكن للمستخدمين تسجيل الدخول إلى Cisco Jabber بسلاسة دون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور ولا يشاهدون حتى شاشة تسجيل دخول. لا يزال المستخدمون الذين لم يتم تسجيل دخولهم إلى المجال على أجهزة الكمبيوتر لديهم يرون نموذج تسجيل دخول قياسي.

نظرا لأن المصادقة تستخدم رمزا مميزا فرديا تم تمريره من أنظمة التشغيل، فلا حاجة لإعادة التوجيه. يتم التحقق من الرمز المميز مقابل وحدة التحكم بالمجال الأساسية (KDC) التي تم تكوينها، وإذا كان صحيحا، فيتم تسجيل دخول المستخدم. 

التكوين

فيما يلي الإجراء لتكوين Kerberos باستخدام ADFS 2.0.

1. تثبيت Microsoft Windows Server 2008 R2 على جهاز.
   
   
2. تثبيت خدمات مجال خدمة Active Directory (ADDS) و ADFS على نفس الجهاز.
   
   
3. تثبيت "خدمات معلومات الإنترنت" (IIS) على الجهاز المثبت على Microsoft Windows Server 2008 R2.
   
   
4. إنشاء شهادة موقعة ذاتيا ل IIS.
   
   
5. قم باستيراد الشهادة الموقعة ذاتيا إلى IIS واستخدمها كشهادة خادم HTTPS.
   
   
6. قم بتثبيت Microsoft Windows7 على جهاز آخر واستخدمه كعميل.
   
   
   • قم بتغيير خادم اسم المجال (DNS) إلى الجهاز الذي قمت بتثبيت "إضافة" فيه.
     
     
   • أضف هذا الجهاز إلى المجال الذي أنشأته في تثبيت ADDS.
     
     
     1. انتقل إلى البدء.
     2. انقر بزر الماوس الأيمن على الكمبيوتر.
     3. انقر فوق خصائص.
     4. انقر على تغيير الإعدادات في الجانب الأيمن من النافذة.
     5. انقر على علامة التبويب اسم الكمبيوتر.
     6. طقطقة تغير.
     7. إضافة المجال الذي قمت بإنشائه.
        
        

        

   
   
   
7. تحقق ما إذا كانت خدمة Kerberos تقوم بتوليد على كلا الجهازين.
   
   
   1. قم بتسجيل الدخول كمسؤول على جهاز الخادم وافتح موجه الأوامر. بعد ذلك قم بتنفيذ هذه الأوامر:
      
      
      • القرص المضغوط \Windows\System32
      • تذاكر قائمة
        
        

        

      
      
      
   2. قم بتسجيل الدخول كمستخدم مجال على جهاز العميل وقم بتنفيذ الأوامر نفسها.
      
      

      

   
   
   
8. قم بإنشاء هوية ADFS Kerberos على الجهاز حيث قمت بتثبيت ADDS.
   
   قام مسؤول Microsoft Windows بتسجيل الدخول إلى مجال Microsoft Windows (باسم <domainName>\administrator)، على سبيل المثال على وحدة التحكم بالمجال ل Microsoft Windows، بإنشاء هوية ADFS Kerberos. يجب أن تحتوي خدمة ADFS HTTP على هوية Kerberos تسمى اسم الخدمة الأساسي (SPN) بهذا التنسيق: HTTP/DNS_name_of_ADFS_server.
   
   يجب تعيين هذا الاسم لمستخدم Active Directory الذي يمثل مثيل خادم ADFS HTTP. أستخدم الأداة المساعدة ل Microsoft Windows SetSPN، والتي يجب أن تكون متوفرة بشكل افتراضي على خادم Microsoft Windows 2008.
   
   الإجراء
   • قم بتسجيل SPNs لخادم ADFS. على وحدة التحكم بمجال Active Directory، قم بتشغيل الأمر setSPN.
     
     على سبيل المثال، عندما يكون مضيف ADFS هو adfs01.us.renovations.com، ويكون مجال Active Directory هو US.RENOVATIONS.COM، فإن الأمر هو:
     
     

        setspn -a HTTP/adfs01.us.renovations.com 
              
               
               
        setspn -a HTTP/adfs01 
                
              

     
     
     يتم تطبيق جزء HTTP/ من SPN، حتى وإن كان خادم ADFS يتم الوصول إليه عادة من خلال طبقة مآخذ التوصيل الآمنة (SSL)، والتي هي HTTPS.
     
     
   • تحقق من أن SPNs لخادم ADFS تم إنشائها بشكل صحيح باستخدام أمر setSPN وعرض المخرجات.
     
     

        setspn -L 
              
              

     
     
     

     

   
   
   
9. قم بتكوين إعدادات المستعرض لعميل Microsoft Windows.
   
   
   1. انتقل إلى أدوات > InternetOptions > متقدمة لتمكين المصادقة المتكاملة ل Windows.
      
      
   2. حدد خانة الاختيار تمكين مصادقة Windows المتكاملة:
      
      

      

      
      
      
   3. انتقل إلى أدوات > خيارات الإنترنت > الأمان > إنترانت المحلية > مستوى مخصص.. لتحديد تسجيل الدخول التلقائي فقط في منطقة إنترانت.
      
      

      

      
      
      
   4. انتقل إلى أدوات > خيارات الإنترنت > الأمان > إنترانت المحلية > المواقع > خيارات متقدمة لإضافة عنوان URL لاكتشاف التسلل ومنعه (IDP) إلى مواقع إنترانت المحلية.
      
      

      ملاحظة: تحقق من كافة خانات الاختيار الموجودة في شاشة إنترانت المحلية وانقر فوق علامة التبويب خيارات متقدمة.

      
      
      

      

      
      
      
   5. انتقل إلى أدوات > التأمين > المواقع الموثوق بها > المواقع لإضافة أسماء مضيف CUCM إلى المواقع الموثوق بها:
      
      

      

التحقق من الصحة

يشرح هذا القسم كيفية التحقق من المصادقة (مصادقة Kerberos أو مصادقة مدير شبكة LAN (NTLM) المستخدمة.

1. قم بتنزيل أداة Fiddler إلى جهاز العميل وقم بتثبيتها.
   
   
2. إغلاق كافة نوافذ Internet Explorer.
   
   
3. قم بتشغيل أداة الفواصل وتحقق من أن خيار التقاط حركة مرور متاح تحت قائمة الملف.
   
   يعمل Fiddler كوكيل مرور بين جهاز العميل والخادم ويستمع إلى كل حركة مرور، والتي تقوم مؤقتا بتعيين إعدادات Internet Explorer مثل:
   
   

   

   
   
   
4. افتح Internet Explorer، واستعرض عنوان URL لخادم إدارة علاقات العملاء (CRM)، وانقر فوق بعض الارتباطات لإنشاء حركة مرور البيانات.
   
   
5. ارجع إلى نافذة Fiddler الرئيسية واختر أحد الإطارات حيث تكون النتيجة 200 (نجاح):
   
   

   

   
   
   إذا كان نوع المصادقة NTLM، فأنت ترى التفاوض - NTLMSSP في بداية الإطار، كما هو موضح هنا:
   
   

   

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.