تكوين إعداد SAML SSO باستخدام مصادقة Kerberos

المقدمة

يوضح هذا المستند كيفية تكوين الإصدار 2.0 من خدمة إتحاد خدمة Active Directory (AD FS) و Active Directory لتمكينها من إستخدام مصادقة Kerberos بواسطة عملاء Jabber (في Microsoft Windows فقط)، والتي تتيح للمستخدمين تسجيل الدخول باستخدام تسجيل الدخول إلى Microsoft Windows وعدم مطالبتهم ببيانات الاعتماد.

تحذير: يستند هذا المستند إلى بيئة معملية ويفترض أنك على دراية بتأثير التغييرات التي تقوم بها. ارجع إلى وثائق المنتج ذات الصلة لفهم تأثير التغييرات التي تقوم بها.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن يكون لديك:

• AD FS الإصدار 2.0 المثبت والمهيئة باستخدام منتجات التعاون من Cisco كثقة جهة معتمدة
• منتجات التعاون مثل المراسلة الفورية Cisco Unified Communications Manager (CUCM) IM and Presence، Cisco Unity Connection (UCXN)، و CUCM الممكنة من أجل إستخدام لغة تمييز تأكيد الأمان (SAML) تسجيل الدخول الأحادي (SSO)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Active Directory 2008 (اسم المضيف: ADFS1.ciscolive.com)
• AD FS الإصدار 2.0 (اسم المضيف: ADFS1.ciscolive.com)
• CUCM (اسم المضيف: CUCM1.ciscolive.com)
• Microsoft Internet Explorer، الإصدار 10
• موزيلا فايرفوكس الإصدار 34
• تيليريك فيدلر الإصدار 4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

تهيئة AD FS

1. قم بتكوين AD FS الإصدار 2.0 باستخدام اسم الخدمة الأساسي (SPN) لتمكين كمبيوتر العميل المثبت عليه Jabber لطلب التذاكر، مما يمكن كمبيوتر العميل بدوره من الاتصال بخدمة AD FS.
   
   

   

   
   
   راجع AD FS 2.0: كيفية تكوين SPN (servicePrincipalName) لحساب الخدمة للحصول على مزيد من المعلومات.
   
   
2. تأكد من أن تكوين المصادقة الافتراضي لخدمة AD FS (في C:\inetpub\adfs\ls\web.config) هو مصادقة Windows المدمجة. تأكد من أنه لم يتم تغييره إلى مصادقة مستندة إلى نموذج.
   
   

   

   
   
   
3. حدد مصادقة Windows وانقر فوق إعدادات متقدمة أسفل الجزء الأيمن. في الإعدادات المتقدمة، قم بإلغاء تحديد تمكين مصادقة وضع kernel، وتأكد من إيقاف تشغيل الحماية الموسعة، ثم انقر على موافق.
   
   

   

   
   
   
4. تأكد من أن AD FS الإصدار 2.0 يدعم كلا من بروتوكول Kerberos وبروتوكول مدير شبكة LAN NT (NTLM) لأن جميع العملاء بخلاف Windows لا يمكنهم إستخدام Kerberos والاعتماد على NTLM.
   
   في الجزء الأيمن، حدد الموفرين وتأكد من وجود التفاوض وNTLM ضمن الموفرين الذين تم تمكينهم:
   
   

   

   
   
   

   ملاحظة: يمرر AD FS رأس أمان التفاوض عند إستخدام مصادقة Windows المتكاملة لمصادقة طلبات العميل. يتيح رأس أمان التفاوض للعملاء إمكانية التحديد بين مصادقة Kerberos ومصادقة NTLM. تحدد عملية التفاوض مصادقة Kerberos ما لم يكن أحد هذه الشروط صحيحا:    
   
   - يتعذر على أحد الأنظمة المشاركة في المصادقة إستخدام مصادقة Kerberos.  
   
   - لا يوفر تطبيق الاتصال معلومات كافية لاستخدام مصادقة Kerberos.   
   
   - لتمكين عملية التفاوض لتحديد بروتوكول Kerberos لمصادقة الشبكة، يجب أن يوفر تطبيق العميل اسم SPN أو اسم مستخدم أساسي (UPN) أو اسم حساب نظام الإدخال/الإخراج الأساسي للشبكة (NetBIOS) كاسم هدف. وإلا، فتقوم عملية التفاوض دائما بتحديد بروتوكول NTLM كطريقة المصادقة المفضلة.

تكوين المستعرض

برنامج Microsoft Internet Explorer

1. تأكد من أن Internet Explorer > متقدم>تمكين المصادقة المتكاملة ل Windows تم التحقق.
   
   

   

   
   
   
2. إضافة عنوان URL ل AD FS تحت الأمان >مناطق إنترانت > المواقع.
   
   

   

   
   
   
3. إضافة أسماء مضيفي CUCM و IMP و Unity إلى الأمان >المواقع الموثوق بها.
   
   

   

   
   
   
4. تأكد من أن Internet Exporer > أمان > إنترانت المحلية > إعدادات الأمان>مصادقة المستخدم - تم تكوين تسجيل الدخول لاستخدام بيانات الاعتماد التي تم تسجيل الدخول لمواقع إنترانت.
   
   

   

Mozilla Firefox

1. افتح Firefox وأدخل حول:config في شريط العناوين.
   
   

   

   
   
   
2. انقر سأكون حذرا، أعدك!
   
   

   

   
   
   
3. انقر نقرا مزدوجا على اسم التفضيل network.negotiate-auth.allow non-fqdn إلى true وnetwork.negotiate-auth.trusted-uris إلى ciscolive.com،adfs1.ciscolive.com من أجل التعديل.
   
   

   

   
   
   
4. إغلاق Firefox وإعادة فتحه.

التحقق من الصحة

للتحقق من إنشاء SPNs لخادم AD FS بشكل صحيح، أدخل أمر setSPN وعرض المخرجات.

تحقق مما إذا كانت أجهزة العميل تحتوي على تذاكر Kerberos:

أكمل هذه الخطوات للتحقق من المصادقة (مصادقة Kerberos أو NTLM) قيد الاستخدام.

1. قم بتنزيل أداة Fiddler إلى جهاز العميل وقم بتثبيتها.
   
   
2. إغلاق كافة نوافذ Microsoft Internet Explorer.
   
   
3. قم بتشغيل أداة fiddler وتحقق من أن خيار التقاط حركة مرور يكون مكنت تحت القائمة ملف. يعمل Fiddler كوكيل مرور بين جهاز العميل والخادم ويستمع إلى كل حركة مرور.
   
   
4. افتح Microsoft Internet Explorer، واستعرض إلى CUCM، وانقر فوق بعض الارتباطات لإنشاء حركة مرور البيانات.
   
   
5. ارجع إلى الإطار الرئيسي ل Fiddler واختر أحد الإطارات حيث تكون النتيجة 200 (نجاح) ويمكنك أن ترى Kerberos كآلية مصادقة
   
   

   

   
   
   
6. إذا كان نوع المصادقة NTLM، فأنت ترى التفاوض - NTLMSSP في بداية الإطار، كما هو موضح هنا.
   
   

   

استكشاف الأخطاء وإصلاحها

إذا تم إكمال جميع خطوات التكوين والتحقق كما هو موضح في هذا المستند وكانت لا تزال لديك مشاكل في تسجيل الدخول، فيجب عليك مراجعة مسؤول Microsoft Windows Active Directory / AD FS.