【IT168 专稿】AD FS是Windows Server 2008 操作系统中的一项重要功能,中文意思为联合身份验证服务。它提供了一个统一的访问解决方案,用于解决基于浏览器的内外部用户的访问;AD RMS,即活动目录权利管理服务,是一种信息保护技术,与AD RMS激活的应用一起保障数字信息不受未授权的使用。两者配合使用,则能够让你的企业应用更加稳固!下面就以实验方式具体说明如何应用。
实验环境要求如下:(图1)
这些计算机构成了两个专用 Intranet,且通过常用二 层交换机进行连接。其实,为了简便,更可以在虚拟服务器环境中模拟此配置。为 Intranet 使用专用网络 ID 10.0.0.0/24。名为 cpandl.com 的域的域控制器是 CPANDL-DC,名为 treyresearch.net 的域的域控制器是 TREY-DC。下图显示了测试环境的配置:(图2)
步骤 1:设置 CP&L 企业域 (图3)
在 AD FS 资源伙伴 (ADFS-RESOURCE) 上安装 Windows Server 2008 Enterprise
首先,将 Windows Server 2008 Enterprise 安装为 ADFS-RESOURCE 上的独立服务器。
注:联合身份验证服务器需要 Windows Server 2008 Enterprise。
安装 Windows Server 2008 Enterprise 的步骤
1. 使用 Windows Server 2008 产品 CD 启动计算机。
2. 当提示选择安装类型时,选择"自定义安装"。
3. 提示输入计算机名称时,键入 ADFS-RESOURCE。
4. 请按照屏幕上显示的其他说明完成安装。
在此步骤中,配置 TCP/IP 属性,使 ADFS-RESOURCE 计算机的静态 IP 地址为 10.0.0.7。
配置 ADFS-RESOURCE 计算机上的 TCP/IP 属性的步骤
1. 使用 ADFS-RESOURCE\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-RESOURCE。
2. 依次单击"开始"、"控制面板"、"网络和 Internet",双击"网络和共享中心",单击"管理网络连接",右键单击"本地连接",然后单击"属性"。
3. 在"网络"选项卡上,单击"Internet 协议版本 4 (TCP/IPv4)",然后单击"属性"。
4. 选择"使用下面的 IP 地址"选项。在"IP 地址"中,键入 10.0.0.7,在"子网掩码"中,键入 255.255.255.0。
5. 选择"使用下面的 DNS 服务器地址"选项。在"首选 DNS 服务器"中,键入 10.0.0.1。
6. 单击"确定",然后单击"关闭"关闭"本地连接属性"对话框。
下一步,将 ADFS-RESOURCE 计算机加入 CPANDL 域:
将 ADFS-RESOURCE 加入 cpandl.com 域的步骤
1. 单击"开始",右键单击"计算机",然后单击"属性"。
2. 单击"更改设置"(位于"计算机名称、域和工作组设置"下方的右侧),然后单击"更改"。
3. 在"计算机名/域更改"对话框中,选择"域"选项,然后键入 cpandl.com。
4. 单击"更多",并在"此计算机的主 DNS 后缀"框中键入 cpandl.com。
5. 单击"确定",然后再次单击"确定"。
6. 当出现"计算机名/域更改"对话框,提示输入管理凭据时,请提供 CPANDL\Administrator 的凭据,然后单击"确定"。
7. 当出现"计算机名/域更改"对话框欢迎您进入 cpandl.com 域时,单击"确定"。
8. 当出现"计算机名/域更改"对话框提示您必须重新启动计算机时,单击"确定",然后单击"关闭"。
9. 单击"立即重新启动"。
创建 ADFSADMIN 用户帐户
在此步骤中,在 Active Directory 中创建 ADFSADMIN 用户帐户。
将 ADFSADMIN 添加到 CPANDL 域的步骤
1. 使用 CPANDL\Administrator 帐户或本地 Administrators 组中的其他帐户登录到 CPANDL-DC。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 用户和计算机"。这将打开"Active Directory 用户和计算机"控制台。
3. 在控制台树中,展开 cpandl.com,右键单击"用户",指向"新建",然后单击"用户"。
4. 在"新建对象 - 用户"对话框中,在"全名"和"用户登录名"中键入 ADFSADMIN,然后单击"下一步"。
5. 在"新建对象 - 用户"对话框中,键入在"密码"和"确认密码"框中选择的密码。清除"用户下次登录时须更改密码"复选框,单击"下一步",然后单击"完成"。
将 ADFSADMIN 用户帐户添加到 ADFS-RESOURCE 上的本地 Administrators 组
安装 AD FS 需要登录用户具有本地服务器上的管理权限。
将 ADFSADMIN 添加到 Administrators 组的步骤
1. 以 cpandl\administrator 身份登录到 ADFS-RESOURCE。
2. 单击"开始",指向"管理工具",然后单击"服务器管理器"。
3. 展开"配置",再展开"本地用户和组",然后单击"组"。
4. 右键单击 Administrators,然后单击"添加到组"。
5. 单击"添加"。
6. 在"选择用户、计算机或组"窗口中,键入 cpandl\adfsadmin,然后单击"确定"。
7. 单击"确定"关闭 Administrators 属性表。