【IT168 专稿】AD FS是Windows Server 2008 操作系统中的一项重要功能,中文意思为联合身份验证服务。它提供了一个统一的访问解决方案,用于解决基于浏览器的内外部用户的访问;AD RMS,即活动目录权利管理服务,是一种信息保护技术,与AD RMS激活的应用一起保障数字信息不受未授权的使用。两者配合使用,则能够让你的企业应用更加稳固!下面就以实验方式具体说明如何应用。
实验环境要求如下:(图1)
这些计算机构成了两个专用 Intranet,且通过常用二 层交换机进行连接。其实,为了简便,更可以在虚拟服务器环境中模拟此配置。为 Intranet 使用专用网络 ID 10.0.0.0/24。名为 cpandl.com 的域的域控制器是 CPANDL-DC,名为 treyresearch.net 的域的域控制器是 TREY-DC。下图显示了测试环境的配置:(图2)
步骤 1:设置 CP&L 企业域 (图3)
在 AD FS 资源伙伴 (ADFS-RESOURCE) 上安装 Windows Server 2008 Enterprise
首先,将 Windows Server 2008 Enterprise 安装为 ADFS-RESOURCE 上的独立服务器。
注:联合身份验证服务器需要 Windows Server 2008 Enterprise。
安装 Windows Server 2008 Enterprise 的步骤
1. 使用 Windows Server 2008 产品 CD 启动计算机。
2. 当提示选择安装类型时,选择"自定义安装"。
3. 提示输入计算机名称时,键入 ADFS-RESOURCE。
4. 请按照屏幕上显示的其他说明完成安装。
在此步骤中,配置 TCP/IP 属性,使 ADFS-RESOURCE 计算机的静态 IP 地址为 10.0.0.7。
配置 ADFS-RESOURCE 计算机上的 TCP/IP 属性的步骤
1. 使用 ADFS-RESOURCE\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-RESOURCE。
2. 依次单击"开始"、"控制面板"、"网络和 Internet",双击"网络和共享中心",单击"管理网络连接",右键单击"本地连接",然后单击"属性"。
3. 在"网络"选项卡上,单击"Internet 协议版本 4 (TCP/IPv4)",然后单击"属性"。
4. 选择"使用下面的 IP 地址"选项。在"IP 地址"中,键入 10.0.0.7,在"子网掩码"中,键入 255.255.255.0。
5. 选择"使用下面的 DNS 服务器地址"选项。在"首选 DNS 服务器"中,键入 10.0.0.1。
6. 单击"确定",然后单击"关闭"关闭"本地连接属性"对话框。
下一步,将 ADFS-RESOURCE 计算机加入 CPANDL 域:
将 ADFS-RESOURCE 加入 cpandl.com 域的步骤
1. 单击"开始",右键单击"计算机",然后单击"属性"。
2. 单击"更改设置"(位于"计算机名称、域和工作组设置"下方的右侧),然后单击"更改"。
3. 在"计算机名/域更改"对话框中,选择"域"选项,然后键入 cpandl.com。
4. 单击"更多",并在"此计算机的主 DNS 后缀"框中键入 cpandl.com。
5. 单击"确定",然后再次单击"确定"。
6. 当出现"计算机名/域更改"对话框,提示输入管理凭据时,请提供 CPANDL\Administrator 的凭据,然后单击"确定"。
7. 当出现"计算机名/域更改"对话框欢迎您进入 cpandl.com 域时,单击"确定"。
8. 当出现"计算机名/域更改"对话框提示您必须重新启动计算机时,单击"确定",然后单击"关闭"。
9. 单击"立即重新启动"。
创建 ADFSADMIN 用户帐户
在此步骤中,在 Active Directory 中创建 ADFSADMIN 用户帐户。
将 ADFSADMIN 添加到 CPANDL 域的步骤
1. 使用 CPANDL\Administrator 帐户或本地 Administrators 组中的其他帐户登录到 CPANDL-DC。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 用户和计算机"。这将打开"Active Directory 用户和计算机"控制台。
3. 在控制台树中,展开 cpandl.com,右键单击"用户",指向"新建",然后单击"用户"。
4. 在"新建对象 - 用户"对话框中,在"全名"和"用户登录名"中键入 ADFSADMIN,然后单击"下一步"。
5. 在"新建对象 - 用户"对话框中,键入在"密码"和"确认密码"框中选择的密码。清除"用户下次登录时须更改密码"复选框,单击"下一步",然后单击"完成"。
将 ADFSADMIN 用户帐户添加到 ADFS-RESOURCE 上的本地 Administrators 组
安装 AD FS 需要登录用户具有本地服务器上的管理权限。
将 ADFSADMIN 添加到 Administrators 组的步骤
1. 以 cpandl\administrator 身份登录到 ADFS-RESOURCE。
2. 单击"开始",指向"管理工具",然后单击"服务器管理器"。
3. 展开"配置",再展开"本地用户和组",然后单击"组"。
4. 右键单击 Administrators,然后单击"添加到组"。
5. 单击"添加"。
6. 在"选择用户、计算机或组"窗口中,键入 cpandl\adfsadmin,然后单击"确定"。
7. 单击"确定"关闭 Administrators 属性表。
步骤 2:设置 Trey Research 域 (图4)
配置域控制器 (TREY-DC)
要配置域控制器 TREY-DC,必须安装 Windows Server 2003,配置 TCP/IP 属性,安装 Active Directory,将 Active Directory 域功能级别提升到 Windows Server 2003,并创建用户帐户。对于配置为使用 AD RMS 的每个用户帐户,您还需要添加电子邮件地址并将用户分配到这些组。
在 TREY-DC 上安装带有 SP2 的 Windows Server 2003
首先,在 TREY-DC 计算机上安装带有 SP2 的 Windows Server 2003。
安装 Windows Server 2003 Standard Edition 的步骤
1. 使用 Windows Server 2003 产品 CD 启动计算机。(您可以使用 Web Edition 之外的任何 Windows Server 2003 版本建立域)
2. 请按照计算机屏幕上显示的说明操作,当系统提示输入计算机名称时,键入 TREY-DC。
在此步骤中,配置 TCP/IP 属性,使 TREY-DC 的静态 IP 地址为 10.0.0.30。
配置 TREY-DC 上的 TCP/IP 属性的步骤
1. 使用 TREY-DC\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 TREY-DC。
2. 单击"开始",依次指向"控制面板"和"网络连接",单击"本地连接",然后单击"属性"。
3. 在"常规"选项卡上,单击"Internet 协议(TCP/IP)",然后单击"属性"。
4. 单击"使用下面的 IP 地址"选项。在"IP 地址"框中,键入 10.0.0.30。在"子网掩码"框中,键入 255.255.255.0。
5. 单击"确定",然后单击"关闭"关闭"本地连接属性"对话框。
安装 Active Directory
在本步骤中,将为 Trey Research 创建域控制器。在尝试安装 Active Directory 之前,首先配置上表中指定的 IP 地址至关重要。这有助于确保适当配置 DNS 记录。
注:如需要使用较少的计算机来测试此方案,则可使用 Dcpromo 工具在两个联合身份验证服务器上创建两个新 Active Directory 林,而不是配置单独域控制器。作为安全非常好的操作,域控制器不应该在生产环境中作为联合身份验证服务器和域控制器运行。
将 TREY-DC 配置为域控制器的步骤
1. 单击"开始",然后单击"运行"。在"打开"框中,键入 dcpromo,然后单击"确定"。
2. 在 Active Directory 安装向导的"欢迎"页上,单击"下一步"。
3. 单击"下一步",选择"新域的域控制器"选项,然后单击"下一步"。
4. 选择"新林中的域"选项,单击"下一步"。
5. 在"新域的完整 DNS 名称"中,键入 treyresearch.net,然后单击"下一步"。
6. 在"域 NetBIOS 名称"中,键入 treyresearch,然后单击三次"下一步"。
7. 选择"在此计算机上安装和配置 DNS 服务器并将此计算机设置为将此 DNS 服务器用作首选 DNS 服务器"选项,然后单击"下一步"。
8. 选择"仅与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限"选项,然后单击"下一步"。
9. 在"还原模式密码"和"确认密码"框中,键入强密码,然后单击"下一步"。
10. 单击"下一步"。
11. Active Directory 安装向导完成后,单击"完成"。
12. 单击"立即重新启动"。
将域功能级别提升至 Windows Server 2003
在此步骤中,我们将 Active Directory 域功能级别提升至 Windows Server 2003。此功能级别允许使用 Active Directory 通用组。
将域功能级别提升至 Windows Server 2003 的步骤
1. 使用 TREYRESEARCH\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 TREY-DC。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 用户和计算机"。
3. 右键单击 treyresearch.net,然后单击"提升域功能级别"。
4. 在"选择一个可用的域功能级别"下的列表中,单击 Windows Server 2003,然后单击"提升"。
注:提升域功能级别后,您将无法更改它。
5. 单击"确定",然后再次单击"确定"。
配置 DNS 转发器
在本指南中,DNS 转发器用于将在 treyresearch.net 域中无法解析的 DNS 请求转发到 cpandl.com 域,反之亦然。配置 DNS 转发器:
配置 TREY-DC 上的 DNS 转发器的步骤
1. 使用 TREYRESEARCH\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 TREY-DC。
2. 单击"开始",指向"管理工具",然后单击 DNS。
3. 右键单击 TREY-DC,然后单击"属性"。
4. 单击"转发器"选项卡。
5. 在"所选域的转发器的 IP 地址列表"部分,键入 10.0.0.1,然后单击"添加"。
6. 单击"确定"。
下一步,配置 CPANDL-DC 计算机上的 DNS 转发器:
配置 CPANDL-DC 上的 DNS 转发器的步骤
1. 使用 CPANDL\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 CPANDL-DC。
2. 单击"开始",指向"管理工具",然后单击 DNS。
3. 右键单击 CPANDL-DC,然后单击"属性"。
4. 单击"转发器"选项卡。
5. 在"所选域的转发器的 IP 地址列表"部分,键入 10.0.0.30,然后单击"添加"。
6. 单击"确定"。
创建用户帐户
在此步骤中,将下表中显示的用户帐户添加到 Active Directory。使用该表后面的步骤创建用户帐户。(图5)
将新用户帐户添加到 TREYRESEARCH 域中的步骤
1. 使用 TREYRESEARCH\Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 TREY-DC。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 用户和计算机"。这将打开"Active Directory 用户和计算机"控制台。
3. 在控制台树中,展开 treyresearch.net。
4. 右键单击"用户",指向"新建",然后单击"用户"。
5. 在"新建对象 - 用户"对话框中,在"全名"和"用户登录名"中键入 ADFSADMIN,然后单击"下一步"。
6. 在"新建对象 - 用户"对话框中,键入在"密码"和"确认密码"框中选择的密码。清除"用户下次登录时须更改密码"复选框,单击"下一步",然后单击"完成"。
7. 为 Terrence Philip (tphilip) 执行步骤 3-6。
下一步,从上表将电子邮件地址添加到用户帐户。
为用户帐户添加电子邮件地址的步骤
1. 在"Active Directory 用户和计算机"控制台中,右键单击 Terrence Philip,单击"属性",在"电子邮件"框中,键入 tphilip@treyresearch.net,然后单击"确定"。
2. 关闭"Active Directory 用户和计算机"控制台。
步骤 3:安装和配置 AD FS
在 ADFS-RESOURCE 和 ADFS-ACCOUNT 上安装联合身份验证服务
使用以下过程在 ADFS-RESOURCE 计算机和 ADFS-ACCOUNT 计算机上安装 AD FS 的联合身份验证服务组件。在计算机上安装联合身份验证服务后,该计算机就成了联合身份验证服务器。
添加联合身份验证服务角色服务的步骤
1. 使用 CPANDL\ADFSADMIN 帐户或本地 Administrators 组中的其他帐户登录到 ADFS-RESOURCE。
2. 单击"开始",指向"管理工具",然后单击"服务器管理器"。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 单击"添加角色"。
5. 在"开始之前"页上,单击"下一步"。
6. 在"选择服务器角色"页上,单击"Active Directory 联合身份验证服务"。
7. 单击"下一步"。
8. 在"AD FS 简介"页上,单击"下一步"。
9. 在"选择角色服务"页上,选中"联合身份验证服务"复选框。如果系统提示您安装其他角色服务,则单击"添加所需角色服务",然后单击"下一步"。
10. 选择"为 SSL 加密选择现有证书"选项,单击适当证书,然后单击"下一步"。
注:如果在测试环境中选择使用自签名证书,则选择"为 SSL 加密创建自签名证书"选项,然后单击"下一步"。
11. 在"选择令牌签名证书"页上,选择"选择现有令牌签名证书"选项,单击适当的证书,然后单击"下一步"。
注:如果在测试环境中选择使用自签名证书,则选择"创建自签名令牌签名证书"选项,然后单击"下一步"。
12. 选择"新建信任策略"选项,然后单击"下一步"。
13. 阅读"Web 服务器简介(IIS)"页,然后单击"下一步"。
14. 保留 Web 服务器默认复选框选择,然后单击"下一步"。
15. 单击"安装"。
16. 安装完成后,单击"关闭"。
17. 以 TREYRESEARCH\ADFSADMIN 身份登录到 ADFS-ACCOUNT。
18. 使用 TREYRESEARCH\ADFSADMIN 用户帐户为 ADFS-ACCOUNT 计算机重复执行步骤 2-13。
将 ADFS-ACCOUNT 配置为使用 AD RMS
ADFS-ACCOUNT 计算机是 TREYRESEARCH 域的成员,可以将 AD RMS 请求转发到 CPANDL 域。在本节中,配置 AD FS 信任策略,为 ProxyAddresses Active Directory 属性创建自定义声明,添加 Active Directory 帐户存储,并添加和配置资源伙伴。
首先,为 TREYRESEARCH 域中的联合身份验证服务配置 ADFS-ACCOUNT 计算机信任策略。
配置 AD FS 帐户伙伴 (ADFS-ACCOUNT) 上的信任策略的步骤
1. 使用 TREYRESEARCH\adfsadmin 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-ACCOUNT。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 联合身份验证服务"。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 展开"联合身份验证服务",右键单击"信任策略",然后单击"属性"。
5. 在"联合身份验证服务 URI"框中,键入 urn:federation:treyresearch.net。
注:联合身份验证服务 URI 值是区分大小写的。
6. 在"联合身份验证服务终点 URL"框中,确认显示 https://ADFS-ACCOUNT.treyresearch.net/adfs/ls/。
7. 在"显示名称"选项卡中,在"此信任策略的显示名称"中,键入 Trey Research,然后单击"确定"。
下一步,创建将与 AD RMS 一起使用的自定义声明。
创建自定义声明的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"组织声明",指向"新建",然后单击"组织声明"。
3. 在"声明名称"框中,键入 ProxyAddresses。
注:声明名称值是区分大小写的。
4. 选择"自定义声明"选项,然后单击"确定"。
注:允许通过联合信任的代理地址时,应格外小心。如果允许通过联合身份验证的代理地址,则恶意用户有可能欺骗授权用户的凭据,并访问用户的受权限保护的内容。如果您的组织要求使用通过联合身份验证的代理地址,您应该实现声明转换模块,该模块会检查联合用户的代理地址并确保它与发出请求的林相匹配。默认情况下,在 Active Directory Rights Management Services 控制台中用于允许联合用户的代理地址的选项处于关闭状态。
下一步,将 Active Directory 帐户存储添加到 TREYRESEARCH 域的联合身份验证服务。
将 Active Directory 帐户存储添加到 ADFS-ACCOUNT 的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"帐户存储",指向"新建",然后单击"帐户存储"。
3. 在"欢迎使用添加帐户存储向导"页上,单击"下一步"。
4. 在"帐户存储类型"页上,选择"Active Directory 域服务"选项,然后单击"下一步"。
5. 在"启用此帐户存储"页上,选中"启用此帐户存储"复选框,然后单击"下一步"。
6. 在"在完成添加帐户存储向导"页上,单击"完成"。
7. 双击"电子邮件"组织声明,选中"启用"复选框,在"LDAP 属性"框中键入邮件,然后单击"确定"。
8. 右键单击 Active Directory 帐户存储,指向"新建",然后单击"自定义声明提取"。
9. 在"属性"框中,键入 ProxyAddresses,然后单击"确定"。
最后,将资源伙伴添加到 TREYRESEARCH 域中的联合身份验证服务中。
将资源伙伴添加到 TREYRESEARCH 域中的步骤
1. 在 Active Directory 联合身份验证服务控制台中,依次展开"联合身份验证服务"、"信任策略",然后展开"伙伴组织"。
2. 右键单击"资源伙伴",指向"新建",然后单击"资源伙伴"。
3. 在"欢迎使用添加资源伙伴向导"页上,单击"下一步"。
4. 选择"导入策略文件"页上的"否"选项,然后单击"下一步"。
5. 在"资源伙伴详细信息"页上的"显示名称"框中,键入"CP&L 企业"。
6. 在"联合身份验证服务 URI"框中,键入 urn:federation:cpandl.com。
注:联合身份验证服务 URL 值是区分大小写的。
7. 在"联合身份验证服务终点 URL"框中,键入 https://adfs-resource.cpandl.com/adfs/ls/,然后单击"下一步"。
8. 在"联合身份验证方案"页上,选择"联合 Web SSO"选项,然后单击"下一步"。
9. 选中"UPN 声明"和"电子邮件声明"复选框,然后单击"下一步"。
10. 选择"不更改直接让所有 UPN 后缀通过"选项,然后单击"下一步"。
11. 选择"不更改直接让所有电子邮件后缀通过"选项,然后单击"下一步"。
12. 确保选中"启用此资源伙伴"复选框,然后单击"下一步"。
13. 单击"完成"。
14. 右键单击新 CP&L 企业资源伙伴,指向"新建",然后单击"传出自定义声明映射"。
15. 在"传出自定义声明名称"框中,键入 ProxyAddresses,然后单击"确定"。
16. 关闭 Active Directory 联合身份验证服务控制台。
将 ADFS-RESOURCE 配置为使用 AD RMS
ADFS-RESOURCE 计算机是 CPANDL 域的成员,并且可以从 TREYRESEARCH 域接收 AD RMS 请求。在本节中,配置 AD FS 信任策略,为 ProxyAddresses Active Directory 属性创建自定义声明,添加 Active Directory 帐户存储,将 AD RMS 添加为声明感知的应用程序并配置资源伙伴。
首先,为 CPANDL 域中的联合身份验证服务配置 ADFS-RESOURCE 计算机信任策略。
配置 AD FS 资源伙伴 (ADFS-RESOURCE) 上的信任策略的步骤
1. 使用 CPANDL\ADFSADMIN 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-RESOURCE。
2. 单击"开始",指向"管理工具",然后单击"Active Directory 联合身份验证服务"。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 展开"联合身份验证服务",右键单击"信任策略",然后单击"属性"。
5. 在"联合身份验证服务 URI"框中,键入 urn:federation:cpandl.com。
注:联合身份验证服务 URI 值是区分大小写的。
6. 在"联合身份验证服务终点 URL"框中,确认显示 https://ADFS-RESOURCE.cpandl.com/adfs/ls/。
7. 在"显示名称"选项卡中的"此信任策略的显示名称"中,键入"CP&L 企业",然后单击"确定"。
下一步,创建将与 AD RMS 一起使用的自定义声明。
创建自定义声明的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"组织声明",指向"新建",然后单击"组织声明"。
3. 在"声明名称"框中,键入 ProxyAddresses。
注:声明名称值是区分大小写的。
4. 选择"自定义声明"选项,然后单击"确定"。
下一步,将 Active Directory 帐户存储添加到 CPANDL 域的联合身份验证服务。
将 Active Directory 帐户存储添加到 ADFS-RESOURCE 的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"帐户存储",指向"新建",然后单击"帐户存储"。
3. 在"欢迎使用添加帐户存储向导"页上,单击"下一步"。
4. 在"帐户存储类型"页上,选择"Active Directory 域服务"选项,然后单击"下一步"。
5. 在"启用此帐户存储"页上,选中"启用此帐户存储"复选框,然后单击"下一步"。
6. 在"在完成添加帐户存储向导"页上,单击"完成"。
7. 双击"电子邮件"组织声明,选中"启用"复选框,在"LDAP 属性"框中键入邮件,然后单击"确定"。
8. 右键单击 Active Directory 帐户存储,指向"新建",然后单击"自定义声明提取"。
9. 在"属性"框中,键入 ProxyAddresses,然后单击"确定"。
10. 关闭 Active Directory 联合身份验证服务控制台。
下一步,将 AD RMS 证书管道添加为声明感知的应用程序。
将 AD RMS 证书管道添加为声明感知的应用程序的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"应用程序",指向"新建",然后单击"应用程序"。
3. 在"欢迎使用添加应用程序向导"页上,单击"下一步"。
4. 在"应用程序类型"页上,选择"声明感知的应用程序"选项,然后单击"下一步"。
5. 在"应用程序显示名称"框中,键入"AD RMS 认证"。
6. 在"应用程序 URL"框中,键入 https://adrms-srv.cpandl.com/_wmcs/certificationexternal/,然后单击"下一步"。
注:应用程序 URL 是区分大小写的,AD RMS Extranet 群集的名称应该与 ADRMS-SRV 计算机的返回 URL 值确切匹配。如果这些值不匹配,则 AD FS 功能不可用。
7. 在"接受的标识声明"页上,选中"用户主体名称 (UPN)"和"电子邮件"复选框,然后单击"下一步"。
8. 在"启用此应用程序"页上,选中"启用此应用程序"复选框,然后单击"下一步"。
9. 在"正在完成添加应用程序向导"页上,单击"完成"。
10. 在此任务窗格中,双击 ProxyAddresses,选中"启用"复选框,然后单击"确定"。
使用以下过程将 AD RMS 授权管道添加为声明感知的应用程序。
将 AD RMS 授权添加为声明感知的应用程序的步骤
1. 在 Active Directory 联合身份验证服务控制台中,展开"联合身份验证服务"、"信任策略",然后展开"我的组织"。
2. 右键单击"应用程序",指向"新建",然后单击"应用程序"。
3. 在"欢迎使用添加应用程序向导"页上,单击"下一步"。
4. 在"应用程序类型"页上,选择"声明感知的应用程序"选项,然后单击"下一步"。
5. 在"应用程序显示名称"框中,键入 AD RMS Licensing。
6. 在"应用程序 URL"框中,键入 https://adrms-srv.cpandl.com/_wmcs/licensingexternal/,然后单击"下一步"。
注:应用程序 URL 是区分大小写的,该 URL 中的计算机名称应该与 ADRMS-SRV 计算机的返回 URL 值确切匹配。如果这些值不匹配,则 AD FS 功能不可用。
7. 在"接受的标识声明"页上,选中"用户主体名称 (UPN)"和"电子邮件"复选框,然后单击"下一步"。
8. 在"启用此应用程序"页上,单击"启用此应用程序"复选框,然后单击"下一步"。
9. 在"正在完成添加应用程序向导"页上,单击"完成"。
10. 在此任务窗格中,双击 ProxyAddresses,单击"启用"复选框,然后单击"确定"。
下一步,将帐户伙伴添加到 ADFS-RESOURCE。此帐户伙伴从 TREYRESEARCH 域中的 ADFS-ACCOUNT 计算机接收请求。
将帐户伙伴添加到 ADFS-RESOURCE 的步骤
1. 在 Active Directory 联合身份验证服务控制台中,依次展开"联合身份验证服务"、"信任策略",然后展开"伙伴组织"。
2. 右键单击"帐户伙伴",指向"新建",然后单击"帐户伙伴"。
3. 在"欢迎使用添加帐户伙伴向导"页上,单击"下一步"。
4. 在"导入策略文件"页上,选择"否"选项,然后单击"下一步"。
5. 在"资源伙伴详细信息"页上,在"显示名称"框中,键入 Trey Research。
6. 在"联合身份验证服务 URI"框中,键入 urn:federation:treyresearch.net。
7. 在"联合身份验证服务终点 URL"框中,键入 https://adfs-account.treyresearch.net/adfs/ls/,然后单击"下一步"。
8. 在"帐户伙伴验证"页上,键入存储令牌签名证书的路径,然后单击"下一步"。
9. 选择"联合 Web SSO"选项,然后单击"下一步"。
10. 选中"UPN 声明"和"电子邮件声明"复选框,然后单击"下一步"。
11. 在"接受的 UPN 后缀"页上,键入 treyresearch.net,单击"添加",然后单击"下一步"。
12. 在"接受的电子邮件后缀"页上,键入 treyresearch.net,单击"添加",然后单击"下一步"。
13. 检验是否选中"启用此帐户伙伴"复选框,然后单击"下一步"。
14. 单击"完成"。
15. 右键单击 Trey Research 帐户伙伴,指向"新建",然后单击"传入自定义声明映射"。
16. 在"传入自定义声明名称"框中,键入 ProxyAddresses,然后单击"确定"。
17. 关闭 Active Directory 联合身份验证服务控制台。
步骤 4:将 ADRMS-SRV 配置为使用 AD FS
将安全审核权限授予 AD RMS 服务帐户
使用 AD FS 时,AD RMS 服务帐户必须能生成安全审核事件。
将安全审核权限授予 AD RMS 服务帐户的步骤
1. 单击"开始",指向"管理工具",然后单击"本地安全策略"。
2. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
3. 展开"本地策略",然后单击"用户权限分配"。
4. 双击"生成安全审核"。
5. 单击"添加用户或组"。
6. 键入 cpandl\adrmssrvc,然后单击"确定"。
7. 单击"确定"关闭"生成安全审核"属性表。
添加 AD RMS Extranet 群集 URL
通过联合信任使用受权限保护的内容的启用 AD RMS 的客户端,使用 AD RMS Extranet 群集 URL 创建权限帐户证书。
小心:通过使用 服务器管理器 添加联合身份验证支持角色服务之前,必须添加 AD RMS 群集 URL。如果未添加群集 URL,则必须手动编辑 certificationexternal 和 licensingexternal 目录中的 web.config 文件。
添加 AD RMS Extranet 群集 URL 的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 打开 Active Directory Rights Management Services 控制台。单击"开始",指向"管理工具",然后单击 Active Directory Rights Management Services。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 右键单击 adrms-srv.cpandl.com,然后单击"属性"。
5. 单击"群集 URL"选项卡,然后选中 Extranet URL 复选框。
6. 对于许可,请单击 https://,然后键入 adrms-srv.cpandl.com。
7. 对于认证,请单击 https://,然后键入 adrms-srv.cpandl.com。
8. 单击"确定"。
添加 AD RMS 联合身份验证支持角色服务
下一步,通过服务器管理器添加联合身份验证支持角色服务。
添加联合身份验证支持角色服务的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 单击"开始",指向"管理工具",然后单击"服务器管理器"。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 在"角色摘要"框中,单击 Active Directory Rights Management Services,然后单击"添加角色服务"。
5. 选中"联合身份验证支持"复选框。确保将"声明感知代理角色服务"列为必需的角色服务,然后单击"添加必需的角色服务"。
6. 单击"下一步"。
7. 在"配置联合身份验证支持"上,键入 adfs-resource.cpandl.com,单击"验证",然后单击"下一步"。
8. 在"AD FS 简介"页上,单击"下一步"。
9. 在"AD FS 角色服务"页上,确认已选中"声明感知代理",然后单击"下一步"。
10. 单击"安装"将联合身份验证支持角色服务添加到 ADRMS-SRV 计算机。
11. 单击"完成"。
在 Active Directory Rights Management Services 控制台中启用联合身份验证支持
一旦启用联合身份验证支持,它就允许用户帐户将凭据(联合信任关系通过 Active Directory 联合身份验证服务 (AD FS) 建立)用作从 AD RMS 群集获取权限帐户证书的基础。
在 Active Directory Rights Management Services 控制台中启用 AD RMS 联合身份验证支持的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 打开 Active Directory Rights Management Services 控制台,并展开 AD RMS 群集。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 在控制台树中,展开"信任策略",然后单击"联合身份支持"。
5. 在"操作"窗格中,单击"启用联合身份支持"。
6. 在"操作"窗格中,单击"属性"。
7. 在"Active Directory 联合身份验证服务策略"选项卡中,在"联合身份证书有效期"中,键入 7。此为联合权限帐户证书将有效的天数。
8. 单击"确定"。
步骤 5:验证 AD RMS 功能
将 AD RMS 群集 URL 添加到 Internet Explorer 本地 Intranet 安全区域中的步骤
1. 以 Terence Philip (TREYRESEARCH\tphilip) 身份登录到 ADRMS-CLNT2。
2. 依次单击"开始"、"控制面板"、"网络和 Internet",然后单击"Internet 选项"。
3. 单击"安全"选项卡,然后单击"本地 Intranet"。
4. 单击"站点",然后单击"高级"。
5. 在"将此网站添加到区域"框中,执行以下操作:
-键入 https://adrms-srv.cpandl.com,然后单击"添加"。
-键入 https://adfs-resource.cpandl.com,然后单击"添加"。
-键入 https://adfs-account.treyresearch.net,然后单击"添加"。
要验证 AD RMS 部署的功能,请以 Nicole Holliday 身份登录,创建 Microsoft Word 2007 文档,然后限制它的权限,使 Terrence Philip 能读取该文档但不能更改、打印或复制它。然后以 Terence Philip 身份登录,检验 Terence Philip 是否能读取该文档但不能对它执行其他操作。
限制 Microsoft Word 文档权限的步骤
1. 以 Nicole Holliday (CPANDL\nhollida) 身份登录到 ADRMS-CLNT。
2. 单击"开始",依次指向"所有程序"和 Microsoft Office,然后单击 Microsoft Office Word 2007。
3. 键入 只有 Terence Philip 可以读取此文档,但不能更改、打印或复制它。单击 Microsoft Office 按钮,依次指向"准备"、"限制权限",然后单击"限制访问"。
4. 单击"限制对此文档的权限"复选框。
5. 在"读取"文本框中,键入 TPHILIP@TREYRESEARCH.NET,然后单击"确定"关闭"权限"对话框。
6. 单击 Microsoft Office 按钮,单击"另存为",然后将该文件保存为 \\adrms-db\public\ADRMS-TST.docx
7. 以 Nicole Holliday 身份注销。
最后,在 TREYRESEARCH.NET 域中的 ADRMS-CLNT2 上以 Terence Philip 身份登录并尝试打开文档 ADRMS-TST.docx。
查看受保护文档的步骤
1. 以 Terence Philip (TREYRESEARCH\tphilip) 身份登录到 ADRMS-CLNT2。
2. 单击"开始",依次指向"所有程序"和 Microsoft Office,然后单击 Microsoft Office Word 2007。
3. 单击 Microsoft Office 按钮,单击"打开",然后键入 \\ADRMS-DB\PUBLIC \ADRMS-TST.docx。如果系统提示您提供凭据,则使用 CPANDL\Administrator。
将显示以下消息:"此文档的权限当前受限制。Microsoft Office 必须连接到 https://adrms-srv.cpandl.com/_wmcs/licensing 验证您的凭据并下载权限。"
4. 单击"确定"。
以下消息显示:"正在验证您利用受限制权限打开内容的凭据"。
5. 文档打开时,单击"Microsoft Office 按钮"。请注意,"打印"选项不可用。
6. 单击消息栏中的"查看权限"。您应该看到 Terence Philip 已被限制为只能读取该文档。
7. 单击"确定"关闭"我的权限"对话框,然后关闭 Microsoft Word。
至此,通过将受限制权限应用到 Microsoft Word 2007 文档,我们已成功地部署和演示了将联合身份验证与 AD RMS 配置使用的功能。
