使用Kerberos身份验证配置SAML SSO设置

简介

本文档介绍如何配置Active Directory和Active Directory联合身份验证服务(AD FS)版本2.0，以使其能够使用Jabber客户端（仅限Microsoft Windows）的Kerberos身份验证，这允许用户使用其Microsoft Windows登录登录登录，并且不会提示用户输入凭据。

警告：本文档基于实验环境，并假设您了解所做更改的影响。请参阅相关产品文档，了解所做更改的影响。

先决条件

要求

Cisco 建议您：

• AD FS 2.0版安装并配置了思科协作产品作为信赖方信任
• 协作产品(如思科统一通信管理器(CUCM)IM and Presence、Cisco Unity Connection(UCXN)和CUCM)已启用，以便使用安全断言标记语言(SAML)单点登录(SSO)

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Active Directory 2008(主机名：ADFS1.ciscolive.com）
• AD FS版本2.0(主机名：ADFS1.ciscolive.com）
• CUCM(主机名：CUCM1.ciscolive.com）
• Microsoft Internet Explorer版本10
• Mozilla Firefox版本34
• 特莱里克·菲德勒第4版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

配置AD FS

1. 使用服务主体名称(SPN)配置AD FS版本2.0，以使安装Jabber的客户端计算机能够请求票证，从而使客户端计算机能够与AD FS服务通信。
   
   

   

   
   
   请参阅AD FS 2.0:如何为服务帐户配置SPN(servicePrincipalName)以了解详细信息。
   
   
2. 确保AD FS服务(在C:\inetpub\adfs\ls\web.config中)的默认身份验证配置为集成Windows身份验证。确保它未更改为基于表单的身份验证。
   
   

   

   
   
   
3. 选择Windows Authentication，然后单击右窗格下的Advanced Settings。在高级设置中，取消选中启用内核模式身份验证，确保扩展保护处于关闭状态，然后单击确定。
   
   

   

   
   
   
4. 确保AD FS版本2.0同时支持Kerberos协议和NT LAN Manager(NTLM)协议，因为所有非Windows客户端都无法使用Kerberos并依赖NTLM。
   
   在右窗格中，选择“提供程序”，并确保“已启用的提供程序”下存在“协商”和NTLM:
   
   

   

   
   
   

   注意：当使用集成Windows身份验证对客户端请求进行身份验证时，AD FS会传递Negotiate安全报头。Negotiate安全报头允许客户端在Kerberos身份验证和NTLM身份验证之间进行选择。协商过程选择Kerberos身份验证，除非以下条件之一为真：    
   
   — 身份验证中涉及的其中一个系统无法使用Kerberos身份验证。  
   
   — 调用应用程序不提供足够的信息来使用Kerberos身份验证。   
   
   — 要启用协商进程以选择用于网络身份验证的Kerberos协议，客户端应用程序必须提供SPN、用户主体名称(UPN)或网络基本输入/输出系统(NetBIOS)帐户名作为目标名称。否则，协商进程始终选择NTLM协议作为首选身份验证方法。

配置浏览器

Microsoft Internet Explorer

1. 确保选中Internet Explorer > Advanced > Enable Integrated Windows Authentication。
   
   

   

   
   
   
2. 在“安全”>“内部网区”>“站点”下添加AD FS URL。
   
   

   

   
   
   
3. 将CUCM、IMP和Unity主机名添加到“安全”(Security)>“受信任的站点”(Trusted sites)。
   
   

   

   
   
   
4. 确保配置了Internet Exporer > security > Local Intranet > Security Settings > User Authentication - Logon ，以便为Intranet站点使用登录凭据。
   
   

   

Mozilla Firefox

1. 打开Firefox，在地址栏中输入about:config。
   
   

   

   
   
   
2. 单击我会小心的，我保证！
   
   

   

   
   
   
3. 双击首选项名称network.negotiate-auth.allow-non-fqdn为true,network.negotiate-auth.trusted-uris 为ciscolive.com，adfs1.ciscolive.com以进行修改。
   
   

   

   
   
   
4. 关闭Firefox并重新打开。

验证

要检查AD FS服务器的SPN是否已正确创建，请输入setspn命令并查看输出。

检查客户端计算机是否具有Kerberos票证：

完成以下步骤，以验证正在使用哪种身份验证（Kerberos或NTLM身份验证）。

1. 将Fiddler工具下载到您的客户端并安装。
   
   
2. 关闭所有Microsoft Internet Explorer窗口。
   
   
3. 运行Fiddler工具，并检查File菜单下是否启用了Capture Traffic选项。Fiddler充当客户端计算机和服务器之间的传递代理并侦听所有流量。
   
   
4. 打开Microsoft Internet Explorer，浏览到CUCM，然后点击一些链接以生成流量。
   
   
5. 返回到Fiddler主窗口，选择其结果为200（成功）的帧之一，您可以将Kerberos视为身份验证机制
   
   

   

   
   
   
6. 如果身份验证类型为NTLM，则在帧的开头看到Negotiate - NTLMSSP，如下所示。
   
   

   

故障排除

如果所有配置和验证步骤都按照本文档所述完成，并且您仍有登录问题，则必须咨询Microsoft Windows Active Directory / AD FS管理员。