.png "Windows Server 2008")
Poradnik krok po kroku: Korzystanie z Identity Federation w połączeniu z Active Directory Rights Management Services .png "Udostępnij na: Facebook")
Opublikowano: 21 lipca 2008
Zawartość strony
Ten poradnik krok po kroku zawiera instrukcje tworzenia środowiska testowego w celu wdrożenia i zapoznania się z mechanizmem Active Directory Rights Management Services (AD RMS) ze wsparciem dla tożsamości federacyjnych w Windows Server® 2008. Zawiera informacje niezbędne do zainstalowania i skonfigurowania AD RMS oraz AD FS i zweryfikowania funkcjonowania AD RMS po zakończeniu konfiguracji.
.gif){kind=icon} |
Poradnik krok po kroku: Korzystanie z Identity Federation w połączeniu z Active Directory Rights Management |
|
Krok 1: Konfigurowanie domeny firmy CP&L Enterprises |
|
Krok 2: Tworzenie domeny firmy Trey Research |
|
Krok 3: Instalowanie i konfigurowanie AD FS |
|
Krok 4: Konfigurowanie ADRMS-SRV do współdziałania z AD FS |
|
Krok 5: Weryfikowanie funkcjonalności AD RMS |
Poradnik krok po kroku: Korzystanie z Identity Federation w połączeniu z Active Directory Rights Management
O tym poradniku
Poradnik ten prowadzi Czytelnika przez proces konfigurowania działającej infrastruktury Active Directory Rights Management Services (AD RMS) w połączeniu z Active Directory® Federation Services (AD FS) w środowisku testowym. W szczególności zajmiemy się zagadnieniem implementacji AD RMS, jeśli w organizacji został również wdrożony mechanizm AD FS i utworzona została relacja zaufania z inną organizacją, w której nie wdrożono AD RMS. Przy użyciu informacji zawartych w tym poradniku Czytelnik będzie mógł rozszerzyć podstawową instalację AD RMS, aby można było wykorzystać poświadczenie AD FS do utworzenia zaufanych kont użytkowników. Pozwoli to na współdzielenie dostępu do chronionej zawartości z inną organizacją bez konieczności tworzenia odrębnej relacji zaufania.
W tym poradniku zostanie utworzone środowisko testowe zawierające następujące komponenty:
• Serwer partnera zasobów AD FS
• Serwer partnera kont AD FS
• Serwer AD RMS
• Serwer bazy danych AD RMS
• Dwa komputery klienckie AD RMS
• Dwa kontrolery domeny Active Directory
W poradniku tym zakłada się, że Czytelnik przestudiował już wcześniej Poradnik instalacji krok po kroku Windows Server Active Directory Rights Management Services i że już zostały wdrożone następujące komponenty:
• Serwer AD RMS
• Serwer bazy danych AD RMS
• Jeden komputer kliencki z włączoną obsługą AD RMS
• Jeden kontroler domeny Active Directory
Czego nie zapewnia ten poradnik
Poradnik ten nie zawiera następujących informacji:
• Omówienia rozwiązania AD RMS. Więcej informacji na temat korzyści, które AD RMS może przynieść organizacji, zawiera dokument https://go.microsoft.com/fwlink/?LinkId=84726.
• Wskazówek na temat instalacji i konfigurowania AD RMS w środowisku produkcyjnym
• Pełnej dokumentacji technicznej AD RMS ani AD FS.
• Wskazówek na temat konfigurowania AD FS wraz z Microsoft Office SharePoint Server 2007 i AD RMS. Informacje na temat wykorzystania tożsamości federacyjnych wraz z Office SharePoint Server 2007 i AD RMS zawiera Dodatek A Poradnika krok po kroku dotyczącywdrażania Active Directory Rights Management Services wraz z Microsoft Office SharePoint Server 2007 (https://go.microsoft.com/fwlink/?LinkId=93136).
Wdrażanie AD RMS wraz ze wsparciem dla Identity Federation w środowisku testowym
Czynności przedstawione w tym poradniku zalecamy wykonać najpierw w środowisku testowym (laboratoryjnym). Poradniki krok po kroku nie mają na celu zastąpienia dodatkowej dokumentacji wdrożeniowej i powinny być używane z rozwagą jako samodzielne dokumenty.
Po zakończeniu tego poradnika Czytelnik będzie dysponował działającą infrastrukturą AD RMS i AD FS. Będzie mógł następnie przetestować i zweryfikować funkcjonalność AD RMS i AD FS:
• Ograniczyć uprawnienia dla dokumentu Microsoft Word 2007 w domenie CPANDL.COM domain.
• Otworzyć i pracować z dokumentem jako autoryzowany użytkownik z domeny TREYRESEARCH.NET.
• Podjąć próbę otwarcia dokumentu jako nieautoryzowany użytkownik z domeny CPANDL.COM.
Środowisko testowe opisane w tym przewodniku obejmuje osiem komputerów podłączonych do sieci prywatnej z zainstalowanymi następującymi systemami operacyjnymi, aplikacjami i usługami:
| Nazwa komputera | System operacyjny | Aplikacje i usługi |
| ADRMS-SRV | Windows Server® 2008 | AD RMS, Internet Information Services (IIS) 7.0, World Wide Web Publishing Service oraz Message Queuing |
|
CPANDL-DC TREY-DC |
Windows Server 2003 z dodatkiem Service Pack 2 (SP2) Uwaga Można zastosować również kontrolery domeny systemu Windows 2000 Server z dodatkiem Service Pack 4. Jednak w tym poradniku zakłada się, że użyte zostaną kontrolery domeny systemu Windows Server 2003 z dodatkiem SP2. |
Active Directory, Domain Name System (DNS) |
| ADRMS-DB | Windows Server 2003 z dodatkiem SP2 | Microsoft SQL Server™ 2005 Standard Edition z dodatkiem Service Pack 2 (SP2) |
|
ADRMS-CLNT ADRMS-CLNT2 |
Windows Vista® | Microsoft Office Word 2007 Enterprise Edition |
|
ADFS-RESOURCE ADFS-ACCOUNT |
Windows Server® 2008 Enterprise | AD FS, IIS |
Uwaga
Przed zainstalowaniem i skonfigurowaniem komponentów omówionych w tym poradniku należy upewnić się, czy używany sprzęt spełnia minimalne wymagania AD RMS (https://go.microsoft.com/fwlink/?LinkId=84733).
Komputery te tworzą dwa prywatne intranety i są połączone za pomocą wspólnego koncentratora lub switcha warstwy 2. Konfigurację tę można emulować w środowisku serwera wirtualnego. Ćwiczenie krok po kroku wykorzystuje adresy prywatne w konfiguracji sieci testowej. Intranet wykorzystuje prywatną sieć o identyfikatorze ID 10.0.0.0/24. Kontroler domeny cpandl.com nosi nazwę CPANDL-DC, a kontroler domeny treyresearch.net, to TREY-DC. Konfigurację środowiska testowego prezentuje poniższy rysunek:
.gif)
Rysunek 1: Konfiguracja środowiska testowego.
.gif){kind=icon}
Do początku strony
Krok 1: Konfigurowanie domeny firmy CP&L Enterprises
Przed zainstalowaniem AD FS oraz roli usługowej AD RMS Identity Federation Support konieczne jest wykonanie zmian w infrastrukturze domeny CPANDL. W tym kroku wykonane zostaną działania zmierzające dozainstalowania wymaganego partnera zasobów Active Directory Federation Services i dodania go do infrastruktury CP&L Enterprises.
Część ta zawiera następujące procedury:
• Instalowanie Windows Server 2008 Enterprise na komputerze partnera zasobów AD FS (ADFS-RESOURCE)
• Utworzenie konta użytkownika ADFSADMIN
• Dodanie konta użytkownika ADFSADMIN do lokalnej grupy Administrators na komputerze ADFS-RESOURCE
W tym kroku zakłada się, że Czytelnik wykonał wcześniej zadania opisane w Poradniku instalacji krok po kroku Windows Server Active Directory Rights Management Services (https://go.microsoft.com/fwlink/?LinkId=72134).
Poniższą tabelę można wykorzystać jako punkt odniesienia podczas konfigurowania odpowiednich nazw komputerów, ustawień systemowych i sieciowych, które są wymagane do wykonania kolejnych kroków zalecanych w tym poradniku.
Ważne
Przed skonfigurowaniem komputerów przy użyciu statycznych adresów Internet Protocol (IP) zalecane jest wykonanie aktywacji produktu Windows, gdy każdy z nich jeszcze będzie miał łączność z Internetem. Należy również zainstalować ewentualne poprawki krytyczne z witryny Windows Update (https://go.microsoft.com/fwlink/?LinkID=47370).
| Nazwa komputera | Wymagany system operacyjny | Ustawienia IP | Ustawienia DNS |
| ADFS-RESOURCE | Windows Server® 2008 Enterprise |
Adres IP: 10.0.0.7 Maska podsieci: 255.255.255.0 |
Preferowany: 10.0.0.1 |
Instalowanie Windows Server 2008 Enterprise na komputerze partnera zasobów AD FS (ADFS-RESOURCE)
W pierwszej kolejności wykonamy instalację systemu operacyjnego Server 2008 Enterprise na serwerze autonomicznym ADFS-RESOURCE.
Ważne
System operacyjny Windows Server 2008 Enterprise jest wymagany dla serwerów federacyjnych.
Aby zainstalować system Windows Server 2008 Enterprise:
1. Uruchom komputer przy użyciu dysku CD produktu Windows Server 2008.
2. Na pytanie o typ instalacji wybierz Custom Installation.
3. Na żądanie o podanie nazwy komputera wpisz ADFS-RESOURCE.
4. Postępuj dalej zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć instalację.
Następnie skonfigurujemy właściwości TCP/IP, aby komputer ADFS-RESOURCE używał statycznego adresu 10.0.0.7.
Aby skonfigurować właściwości TCP/IP na komputerze ADFS-RESOURCE:
1. Zaloguj się na komputerze ADFS-RESOURCE przy użyciu konta ADFS-RESOURCE\Administrator lub innego konta należącego do lokalnej grupy Administrators.
2. Kliknij kolejno Start, następnie Control Panel, Network and Internet , Network and Sharing Center i Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.
3. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.
4. Kliknij opcję Use the following IP address i wpisz 10.0.0.7 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.
5. Kliknij opcję Use the following DNS server addresses, po czym wpisz 10.0.0.1 w polu Preferred DNS server.
6. Kliknij OK, aby zamknąć okno dialogowe Local Area Connection Properties.
Następnie przyłączymy komputer ADFS-RESOURCE do domeny cpandl.com.
Aby przyłączyć ADFS-RESOURCE do domeny cpandl.com:
1. Kliknij Start, prawym klawiszem myszy kliknij Computer, po czym kliknij Properties.
2. Kliknij Change settings (po prawej stronie poniżej tytułu Computer name, domain, and workgroup settings), po czym kliknij Change.
3. W oknie dialogowym Computer Name/Domain Changes zaznacz opcję Domain i wpisz nazwę cpandl.com.
4. Kliknij More, po czym wpisz cpandl.com w polu Primary DNS suffix of this computer.
5. Kliknij OK, po czym ponownie kliknij OK.
6. Kiedy pojawi się okno dialogowe Computer Name/Domain Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta CPANDL\Administrator, po czym kliknij OK.
7. Gdy pojawi się okno dialogowe Computer Name/Domain Changes z komunikatem powitalnym w domenie cpandl.com, kliknij OK.
8. Pojawi się okno dialogowe Computer Name/Domain Changes z informacją, że komputer musi zostać ponownie uruchomiony. Kliknij OK, po czym ponownie kliknij OK.
9. Kliknij Restart Now.
Tworzenie konta użytkownika ADFSADMIN
W tym kroku utworzymy konto użytkownika ADFSADMIN w Active Directory.
Aby dodać konto ADFSADMIN do domeny CPANDL:
1. Zaloguj się na komputerze CPANDL-DC przy użyciu konta CPANDL\Administrator lub innego konta należącego do grupy Administrators.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers. Otworzy się konsola Active Directory Users and Computers.
3. W drzewie konsoli rozwiń domenę cpandl.com, prawym klawiszem myszy kliknij Users, wskaż New, po czym kliknij User.
4. W oknie dialogowym New Object – User wpisz ADFSADMIN w polach Full name oraz User logon name, po czym kliknij Next.
5. Wpisz wybrane hasło w polach tekstowych Password i Confirm password. Wyczyść pole wyboru User must change password at next logon , kliknij Next, po czym kliknij Finish.
Dodawanie konta użytkownika ADFSADMIN do lokalnej grupy Administrators na komputerze ADFS-RESOURCE
Instalacja AD FS wymaga, aby zalogowany użytkownik miał uprawnienia administracyjne na serwerze.
Aby dodać konto ADFSADMIN do grupy Administrators:
1. Zaloguj się na komputerze ADFS-RESOURCE jako cpandl\administrator.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.
3. Rozwiń węzeł Configuration, następnie Local Users and Groups, po czym kliknij Groups.
4. Prawym klawiszem myszy kliknij Administrators, po czym kliknij Add to Group.
5. Kliknij Add.
6. W oknie dialogowym Select Users, Computers, or Groups wpisz cpandl\adfsadmin, po czym kliknij OK.
7. Kliknij OK, aby zamknąć kartę właściwości grupy Administrators.
Do początku strony
Krok 2: Tworzenie domeny firmy Trey Research
Przed zainstalowaniem AD FS oraz roli usługi AD RMS Federation Identity Support należy zainstalować i skonfigurować infrastrukturę firmy Trey Research. W tym kroku zostaną zainstalowane wymagane komputery tworzące domenę Trey Research:
• Kontroler domeny (TREY-DC)
• Komputer będący federacyjnym partnerem kont (ADFS-ACCOUNT)
• Komputer kliencki z włączoną obsługą AD RMS (ADRMS-CLNT2)
Poniższą tabelę można wykorzystać jako punkt odniesienia podczas konfigurowania odpowiednich nazw komputerów, ustawień systemowych i sieciowych, które są wymagane do wykonania kolejnych kroków w tym poradniku.
Ważne
Przed skonfigurowaniem komputerów przy użyciu statycznych adresów Internet Protocol (IP) zalecane jest wykonanie aktywacji produktu Windows, gdy każdy z nich jeszcze będzie miał łączność z Internetem.
| Nazwa komputera | Wymagany system operacyjny | Ustawienia IP | Ustawienia DNS |
| TREY-DC | Windows Server 2003 z dodatkiem SP2 |
Adres IP: 10.0.0.30 Maska podsieci: 255.255.255.0 |
Skonfigurowany przez rolę serwera DNS. |
| ADFS-ACCOUNT | Windows Server® 2008 Enterprise |
Adres IP: 10.0.0.31 Maska podsieci: 255.255.255.0 |
Preferowany: 10.0.0.30 |
| ADRMS-CLNT2 | Windows Vista |
IP address 10.0.0.32 Maska podsieci: 255.255.255.0 |
Preferowany: 10.0.0.30 |
Konfigurowanie kontrolera domeny (TREY-DC)
Aby skonfigurować kontroler domeny TREY-DC, należy zainstalować system operacyjny Windows Server 2003, określić jego właściwości TCP/IP, zainstalować Active Directory, podnieść poziom funkcjonalności domeny Active Directory do poziomu Windows Server 2003, po czym utworzyć konta użytkownika. Dla każdego konta, które ma być używane w AD RMS, należy także określić adres e-mail i przypisać użytkowników do odpowiednich grup.
Instalowanie systemu Windows Server 2003 z dodatkiem SP2 na komputerze TREY-DC
Najpierw zainstalujemy Windows Server 2003 z dodatkiem SP2 na komputerze TREY-DC.
Aby zainstalować Windows Server 2003 Standard Edition:
1. Uruchom komputer używając dysku CD produktu Windows Server 2003 (można użyć dowolnej edycji Windows Server 2003 z wyjątkiem wersji Web Edition, aby utworzyć domenę).
2. Postępuj zgodnie z wyświetlanymi instrukcjami, wpisując TREY-DC po wezwaniu o podanie nazwy komputera.
Następnie skonfigurujemy właściwości TCP/IP, aby TREY-DC miał statyczny adres IP 10.0.0.30.
Aby skonfigurować właściwości TCP/IP na komputerze TREY-DC:
1. Zaloguj się na komputerze TREY-DC używając konta TREY-DC\Administrator lub inny użytkownik należący do lokalnej grupy Administrators.
2. Kliknij Start, wskaż Control Panel, następnie Network Connections, kliknij Local Area Connection , po czym kliknij Properties.
3. Na zakładce General kliknij Internet Protocol (TCP/IP) , po czym kliknij Properties.
4. Kliknij opcję Use the following IP address. W polu IP address wpisz 10.0.0.30. W polu Subnet mask wpisz 255.255.255.0.
5. Kliknij OK, po czym kliknij Close, aby zamknąć okno dialogowe Local Area Connection Properties.
Instalowanie Active Directory
W tym kroku utworzymy kontroler domeny dla firmy Trey Research. Należy podkreślić, że należy wcześniej skonfigurować adres IP zgodnie z treścią poprzedniej tabeli. Zagwarantuje to właściwą konfigurację rekordów DNS.
Uwaga
Jeśli konieczne jest wykonanie tego scenariusza przy użyciu mniejszej liczby komputerów, można użyć narzędzia Dcpromo do utworzenia dwóch nowych lasów Active Directory na serwerach federacyjnych zamiast konfigurowania odrębnych kontrolerów domeny. Jednak ze względu na zalecenia bezpieczeństwa kontrolery domeny nie powinny być równocześnie serwerami federacyjnymi w środowisku produkcyjnym.
Aby skonfigurować komputer TREY-DC jako kontroler domeny:
1. Kliknij Start, po czym kliknij Run. W polu Open wpisz dcpromo i kliknij OK.
2. Na stronie Welcome kreatora Active Directory Installation Wizard kliknij Next.
3. Kliknij opcję Domain controller for a new domain, po czym kliknij Next.
4. Kliknij opcję Domain in a new forest i kliknij Next.
5. W polu Full DNS name for new domain wpisz treyresearch.net, po czym kliknij Next.
6. W polu Domain NetBIOS name wpisz treyresearch, po czym kliknij Next trzykrotnie.
7. Kliknij opcję Install and configure the DNS server on this computer and set this computer to use this DNS server as its preferred DNS server , po czym kliknij Next.
8. Zaznacz opcję Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems , po czym kliknij Next.
9. W polach Restore Mode Password oraz Confirm password wpisz silne hasło trybu przywracania usług katalogowych i kliknij Next.
10. Kliknij Next.
11. Po zakończeniu pracy kreatora Active Directory Installation Wizard kliknij Finish.
12. Kliknij Restart Now.
Podnoszenie poziomu funkcjonalności domeny do Windows Server 2003
Następną czynnością jest podniesienie poziomu funkcjonalności domeny do poziomu Windows Server 2003, dzięki czemu można będzie użyć grup uniwersalnych Active Directory.
Aby podnieść poziom funkcjonalności domeny do poziomu Windows Server 2003:
1. Zaloguj się na komputerze TREY-DC przy użyciu konta TREYRESEARCH\Administrator.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers.
3. Prawym przyciskiem myszy kliknij cpandl.com, po czym kliknij Raise domain functional level.
4. Na liście poniżej tytułu Select an available domain functional level zaznacz Windows Server 2003, po czym kliknij Raise.
Uwaga
Nie można obniżyć poziomu funkcjonalności domeny, gdy raz zostanie podniesiony.
5. Kliknij OK, po czym ponownie kliknij OK.
Konfigurowanie serwera przekierowującego DNS
W tym poradniku serwery przekierowujące DNS są wykorzystane do przesyłania żądań DNS, które nie mogą być rozwiązane w domenie treyresearch.net, do domeny cpandl.com i odwrotnie.
Aby skonfigurować serwer przekierowujący DNS na komputerze TREY-DC:
1. Zaloguj się na komputerze TREY-DC przy użyciu konta TREYRESEARCH\Administrator.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij DNS.
3. Prawym klawiszem myszy kliknij TREY-DC, po czym kliknij Properties.
4. Kliknij zakładkę Forwarders.
5. W sekcji Selected domain's forward IP address list wpisz 10.0.0.1, po czym kliknij Add.
6. Kliknij OK.
Następnie skonfigurujemy serwer przekierowujący DNS na komputerze CPANDL-DC.
Aby skonfigurować serwer przekierowujący DNS na komputerze CPANDL-DC:
1. Zaloguj się na komputerze CPANDL-DC przy użyciu konta CPANDL\Administrator.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij DNS.
3. Prawym klawiszem myszy kliknij CPANDL-DC, po czym kliknij Properties.
4. Kliknij zakładkę Forwarders.
5. W sekcji Selected domain's forward IP address list wpisz 10.0.0.30, po czym kliknij Add.
6. Kliknij OK.
Tworzenie kont użytkowników
Najpierw dodamy konta użytkowników ukazane w poniższej tabeli do Active Directory, posługując się procedurą tworzenia kont następującą po tabeli.
| Nazwa konta | Nazwa logowania | Adres e-mail |
| ADFSADMIN | ADFSADMIN | |
| Terrence Philip | tphilip | tphilip@treyresearch.net |
Aby dodać nowe konta użytkowników w domenie TREYRESEARCH:
1. Zaloguj się na komputerze TREY-DC, używając konta TREYRESEARCH\Administrator lub innego konta należącego do grupy Administrators.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers. Uruchomi się konsola Active Directory Users and Computers.
3. Rozwiń wpis treyresearch.net w drzewie konsoli.
4. Prawym klawiszem myszy kliknij Users, wskaż New, po czym kliknij User.
5. W oknie dialogowym New Object – User wpisz ADFSADMIN w polach Full name oraz User logon name, po czym kliknij Next.
6. W oknie dialogowym New Object – User wpisz wybrane przez siebie hasło w polach Password oraz Confirm password . Zsuń zaznaczenie z pola wyboru User must change password at next logon , kliknij Next, po czym kliknij Finish.
7. Wykonaj kroki 3-6 dla użytkownika Terrence Philip (tphilip).
Następnie nadamy adresy e-mail na podstawie powyższej tabeli.
Aby dodać adres e-mail do konta użytkownika:
1. W konsoli Active Directory Users and Computers kliknij Terrence Philip prawym przyciskiem myszy, następnie kliknij Properties, w polu E-mail wpisz tphilip@treyresearch.net, po czym kliknij OK.
2. Zamknij konsolę Active Directory Users and Computers.
Konfigurowanie komputera jako partnera kont federacji (ADFS-ACCOUNT)
W tej części wykonamy konfigurację komputera, który będzie pełnił funkcję serwera federacyjnego w domenie TREYRESEARCH.
Najpierw zainstalujemy Windows Server 2008 Enterprise jako autonomiczny serwer ADFS-ACCOUNT.
Ważne
Funkcja serwera federacyjnego wymaga systemu w wersji Windows Server 2008 Enterprise.
Aby zainstalować system Windows Server 2008 Enterprise:
1. Uruchom komputer przy użyciu dysku CD produktu Windows Server 2008.
2. Na pytanie o typ instalacji wybierz Custom Installation.
3. Na żądanie o podanie nazwy komputera wpisz ADFS-ACCOUNT.
4. Postępuj dalej zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć instalację.
Następnie skonfigurujemy właściwości TCP/IP, aby komputer ADFS-RESOURCE używał statycznego adresu 10.0.0.31.
Aby skonfigurować właściwości TCP/IP na komputerze ADFS-ACCOUNT:
1. Zaloguj się na komputerze ADFS- ACCOUNT przy użyciu konta ADFS- ACCOUNT \Administrator lub innego konta należącego do lokalnej grupy Administrators.
2. Kliknij kolejno Start, następnie Control Panel , Network and Internet, Network and Sharing Center i Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.
3. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.
4. Kliknij opcję Use the following IP address i wpisz 10.0.0.31 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.
5. Kliknij opcję Use the following DNS server addresses, po czym wpisz 10.0.0.30 w polu Preferred DNS server.
6. Kliknij OK, aby zamknąć okno dialogowe Local Area Connection Properties.
Następnie przyłączymy komputer ADFS-ACCOUNT do domeny TREYRESEARCH.
Aby przyłączyć komputer ADFS-ACCOUNT do domeny treyresearch.net:
1. Kliknij Start, prawym klawiszem myszy kliknij Computer, po czym kliknij Properties.
2. Kliknij Change settings (po prawej stronie poniżej tytułu Computer name, domain, and workgroup settings), po czym kliknij Change.
3. W oknie dialogowym Computer Name/Domain Changes zaznacz opcję Domain i wpisz nazwę treyresearch.net.
4. Kliknij More i wpisz treyresearch.net w polu tekstowym Primary DNS suffix of this computer .
5. Kliknij OK, po czym ponownie kliknij OK.
6. Kiedy pojawi się okno dialogowe Computer Name/Domain Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta TREYRESEARCH\Administrator, po czym OK.
7. Gdy pojawi się okno dialogowe Computer Name/Domain Changes z komunikatem powitalnym w domenie treyresearch.net, kliknij OK.
8. Pojawi się okno dialogowe Computer Name/Domain Changes z informacją, że komputer musi zostać ponownie uruchomiony. Kliknij OK, po czym ponownie kliknij OK.
9. Kliknij Restart Now.
Na koniec dodamy konto użytkownika ADFSADMIN do lokalnej grupy Administrators na komputerze ADFS-ACCOUNT:
Aby dodać konto ADFSADMIN do lokalnej grupy Administrators na komputerze ADFS-ACCOUNT
1. Zaloguj się na komputerze ADFS-ACCOUNT jako TREYRESEARCH\Administrator.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.
3. Rozwiń węzeł Configuration, następnie Local Users and Groups, po czym kliknij Groups.
4. Podwójnie kliknij Administrators, kliknij Add, wpisz TREYRESEARCH\ADFSADMIN, kliknij OK, po czym ponownie kliknij OK.
Konfigurowanie komputera klienckiego z włączoną obsługą AD RMS (ADRMS-CLNT2)
W celu skonfigurowania komputera ADRMS-CLNT2 w domenie TREYRESEARCH należy na nim zainstalować system operacyjny Windows Vista, ustawić właściwości TCP/IP i przyłączyć ten komputer do domeny treyresearch.com. Konieczne będzie również zainstalowanie aplikacji z możliwością obsługi AD RMS. W tym przykładzie aplikacją tą będzie Microsoft Office Word 2007 Enterprise Edition.
Aby zainstalować Windows Vista:
1. Uruchom komputer, używając dysku CD produktu Windows Vista.
2. Postępuj zgodnie z wyświetlanymi instrukcjami, wpisując ADRMS-CLNT2 po wezwaniu o podanie nazwy komputera.
Następnie skonfigurujemy właściwości TCP/IP, aby komputer ADRMS-CLNT2 używał statycznego adresu IP 10.0.0.32. Dodatkowo skonfigurujemy 10.0.0.30 jako adres IP serwera DNS (TREY-DC).
Aby skonfigurować właściwości TCP/IP:
1. Zaloguj się na komputerze ADRMS-CLNT2 jako ADRMS-CLNT2\Administrator lub inny użytkownik należący do lokalnej grupy Administrators.
2. Kliknij kolejno Start, następnie Control Panel , Network and Internet i na koniec Network and Sharing Center.
3. Kliknij Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.
4. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
5. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.
6. Kliknij opcję Use the following IP address i wpisz 10.0.0.32 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.
7. Kliknij opcję Use the following DNS server addresses, po czym wpisz 10.0.0.30 w polu Preferred DNS server.
8. Kliknij OK, po czym kliknij Close, aby zamknąć okno dialogowe Local Area Connection Properties.
Następnie przyłączymy komputer ADRMS-CLNT2 do domeny TREYRESEARCH.
Aby przyłączyć komputer ADRMS-CLNT2 do domeny TREYRESEARCH:
1. Kliknij Start, prawym klawiszem myszy kliknij Computer, po czym kliknij Properties.
2. Kliknij Change settings (po prawej stronie poniżej tytułu Computer name, domain, and workgroup settings), po czym kliknij Change.
3. Na zakładce Computer Name kliknij Change.
4. W oknie dialogowym Computer Name/Domain Changes zaznacz opcję Domain i wpisz nazwę treyresearch.net.
5. Kliknij More, po czym wpisz treyresearch.netw polu Primary DNS suffix of this computer .
6. Kliknij OK, po czym kliknij OK ponownie.
7. Kiedy pojawi się okno dialogowe Computer Name/Domain Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta TREYRESEARCH\administrator, po czym kliknij OK.
8. Gdy pojawi się okno dialogowe Computer Name/Domain Changes z komunikatem powitalnym w domenie treyresearch.net, kliknij OK.
9. Pojawi się okno dialogowe Computer Name/Domain Changes z informacją, że komputer musi zostać ponownie uruchomiony. Kliknij OK, po czym ponownie kliknij OK.
10. W oknie dialogowym System Settings Change kliknij Yes, aby ponownie uruchomić komputer.
Teraz należy skonfigurować na komputerze ADRMS-CLNT2 obsługę federacji z AD RMS. Tworzony klucz rejestru przypisuje macierzystą dziedzinę AD FS dla AD RMS.
Aby skonfigurować obsługę federacji na komputerze ADRMS-CLNT2
1. Zaloguj się na komputerze ADRMS-CLNT2 przy użyciu konta TREYRESEARCH\Administrator lub innego konta należącego do lokalnej grupy Administrators.
2. Kliknij Start, wpisz regedit.exe i naciśnij Enter.
3. Rozwiń kolejno gałąź HKEY_LOCAL_MACHINE, następnie Software i na koniec Microsoft.
4. Prawym klawiszem myszy kliknij Microsoft, wskaż New, kliknij Key, wpisz MSDRM, po czym naciśnij Enter.
5. Prawym klawiszem myszy kliknij MSDRM, wskaż New, kliknij Key, wpisz Federation i naściśnij Enter.
6. Prawym klawiszem myszy kliknij Federation, wskaż New, kliknij String Value, wpisz FederationHomeRealm, po czym naciśnij ENTER.
7. Podwójnie kliknij FederationHomeRealm, wpisz urn:federation:treyresearch.net, po czym kliknij OK.
Na koniec zainstalujemy oprogramowanie Microsoft Office Word 2007 Enterprise Edition na komputerze ADRMS-CLNT2.
Aby zainstalować Microsoft Office Word 2007 Enterprise:
1. Podwójnie kliknij plik setup.exe na dysku CD produktu Microsoft Office 2007 Enterprise.
2. Kliknij Customize jako typ instalacji, ustaw typ instalowania jako Not Available dla wszystkich aplikacji oprócz Microsoft Office Word 2007 Enterprise, po czym kliknij Install Now. Instalacja może zająć kilka minut.
Ważne
Tylko wersje Ultimate, Professional Plus oraz Enterprise Editions pakietu Microsoft Office 2007 pozwalają na tworzenie treści z ochroną uprawnień. Wszystkie edycje pozwalają na korzystanie z takiej zawartości.
Do początku strony
Krok 3: Instalowanie i konfigurowanie AD FS
Teraz, kiedy dysponujemy już komputerami, które będą użyte jako serwery federacyjne, możemy przystąpić do zainstalowania komponentów Active Directory Federation Services (AD FS) na każdym z nich. W tej części zawarte są następujące procedury:
• Instalowanie Federation Service na komputerach ADFS-RESOURCE i ADFS-ACCOUNT
• Konfigurowanie współdziałania z AD RMS na komputerze ADFS-ACCOUNT
• Konfigurowanie współdziałania z AD RMS na komputerze ADFS-RESOURCE
Instalowanie Federation Service na komputerach ADFS-RESOURCE i ADFS-ACCOUNT
Przedstawiona niżej procedura umożliwia instalację komponentu Federation Service roli AD FS na komputerach ADFS-RESOURCE i ADFS-ACCOUNT. Po zainstalowaniu usługi Federation Service komputer staje się serwerem federacyjnym.
Aby dodać usługę roli Federation Service:
1. Zaloguj się na komputerze ADFS-RESOURCE jako CPANDL\ADFSADMIN.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.
3. Jeżeli pojawi się okno dialogowe User Account Control potwierdź, że wyświetlane działanie jest tym, które chcesz wykonać, po czym kliknij Continue.
4. W polu Roles Summary kliknij Add Roles. Uruchomi się kreator Add Roles Wizard.
5. Przeczytaj informacje w sekcji Before You Begin, po czym kliknij Next.
6. Na stronie Select Server Roles zaznacz pole wyboru Active Directory Federation Services.
7. Kliknij Next.
8. Na stronie Introduction to AD FS kliknij Next.
9. Na stronie Select Role Services zaznacz pole wyboru Federation Service. Jeżeli pojawi się wezwanie o zainstalowanie dodatkowych usług roli, kliknij opcję Add Required Role Services, po czym kliknij Next.
10. Zaznacz opcję Choose an existing certificate for SSL encryption, kliknij odpowiedni certyfikat, po czym kliknij Next.
Uwaga
Jeśli zdecydujesz się na użycie samo-podpisanych certyfikatów w środowisku testowym, wybierz opcję Create a self-signed certificate for SSL encryption, po czym kliknij Next.
11. Na stronie Choose a Token-Signing Certificate zaznacz opcję Choose an existing token-signing certificate, kliknij odpowiedni certyfikat, po czym kliknij Next.
Uwaga
Aby użyć samo-podpisanych certyfikatów w środowisku testowym, wybierz opcję Create a self-signed certificate for SSL encryption, po czym kliknij Next.
12. Zaznacz opcję Create a new trust policy, po czym kliknij Next.
13. Przeczytaj stronę Introduction to Web Server (IIS), po czym kliknij Next.
14. Zachowaj domyślne ustawienia opcji serwera Web, po czym kliknij Next
15. Kliknij Install.
16. Po zakończeniu instalacji kliknij Close.
17. Zaloguj się na komputerze ADFS-ACCOUNT jako TREYRESEARCH\ADFSADMIN.
18. Powtórz kroki 2–13 na komputerze ADFS-ACCOUNT, używając konta użytkownika TREYRESEARCH\ADFSADMIN.
Konfigurowanie współdziałania z AD RMS na komputerze ADFS-ACCOUNT
Komputer ADFS-ACCOUNT jest członkiem domeny TREYRESEARCH i przekazuje żądania AD RMS do domeny CPANDL. W tej części skonfigurujemy zasadę zaufania AD FS, utworzymy niestandardowe oświadczenie dla atrybutu Active Directory ProxyAddresses, dodamy składnik Active Directory Account Store oraz dodamy i skonfigurujemy partnera zasobów.
Najpierw skonfigurujemy na komputerze ADFS-ACCOUNT zasadę zaufania usługi federacyjnej w domenie TREYRESEARCH.
Aby skonfigurować zasadę zaufania na partnerze kont AD FS (ADFS-ACCOUNT):
1. Zaloguj się na komputerze ADFS-ACCOUNT jako TREYRESEARCH\adfsadmin lub inny użytkownik należący do lokalnej grupy Administrators.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Federation Services.
3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
4. Rozwiń Federation Service, prawym klawiszem myszy kliknij Trust Policy, po czym kliknij Properties.
5. W polu tekstowym Federation Service URI wpisz urn:federation:treyresearch.net.
Uwaga
W wartości Federation Service URI rozróżniane są wielkości liter.
6. Upewnij się, że w polu Federation Service endpoint URL wyświetlany jest adres https://ADFS-ACCOUNT.treyresearch.net/adfs/ls/.
7. Na zakładce Display Name w sekcji Display name for this trust policy wpisz Trey Research, po czym kliknij OK.
Następnie utworzymy niestandardowe oświadczenie, które będzie używane z AD RMS.
Aby utworzyć niestandardowe oświadczenie:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Organization Claims, wskaż New, po czym kliknij Organization Claim.
3. W polu Claim name wpisz ProxyAddresses.
Uwaga
W wartości nazwy oświadczenia rozróżniane są wielkości liter.
4. Zaznacz opcję Custom claim, po czym kliknij OK.
Ważne
Należy zachować wielką ostrożność przy zezwalaniu na zastępowanie adresów poprzez sfederowaną relację zaufania. Jest wówczas możliwe przechwycenie poświadczeń autoryzowanego użytkownika przez użytkownika złośliwego i uzyskanie dostępu do chronionych treści. Jeżeli przesłanianie adresów poprzez federację jest wymagane w organizacji, należy zaimplementować moduł transformacji oświadczeń, który będzie sprawdzał przesłaniany adres sfederowanego użytkownika i upewniał się, że pasuje on do lasu, z którego pochodzi żądanie. Opcja zastępowania adresów jest domyślnie wyłączona w konsoli Active Directory Rights Management Services.
Następnie dodamy magazyn kont Active Directory do usługi Federation Service dla domeny TREYRESEARCH.
Aby dodać magazyn kont Active Directory do komputera ADFS-ACCOUNT:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Account Stores, wskaż New, po czym kliknij Account Store.
3. Na stronie Welcome to the Add Account Store Wizard kliknij Next.
4. Na stronie Account Store Type zaznacz opcję Active Directory Domain Services, po czym kliknij Next.
5. Na stronie Enable this Account Store zaznacz pole wyboru Enable this account store, po czym kliknij Next.
6. Na stronie Completing the Add Account Store Wizard kliknij Finish.
7. Podwójnie kliknij oświadczenie organizacyjne E-mail, zaznacz pole wyboru Enabled, wpisz mail w polu LDAP attribute, po czym kliknij OK.
8. Prawym klawiszem myszy kliknij magazyn kont Active Directory, wskaż New, po czym kliknij Custom claim extraction.
9. W polu Attribute wpisz ProxyAddresses, po czym kliknij OK.
Na koniec dodamy partnera zasobów do usługi Federation Service w domenie TREYRESEARCH.
Aby dodać partnera zasobów do domeny TREYRESEARCH:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i Partner Organizations.
2. Prawym klawiszem myszy kliknij Resource Partners, wskaż New, po czym kliknij Resource Partner.
3. Na stronie Welcome to the Add Resource Partner Wizard kliknij Next.
4. Zaznacz opcję No na stronie Import Policy File , po czym kliknij Next.
5. Na stronie Resource Partner Details wpisz CP&L Enterprises w polu Display name.
6. W polu Federation Service URI wpisz urn:federation:cpandl.com.
Uwaga
W wartości Federation Service URI rozróżniane są wielkości liter.
7. W polu Federation Service endpoint URL wpisz https://adfs-resource.cpandl.com/adfs/ls/, po czym kliknij Next.
8. Na stronie Federation Scenario zaznacz opcję Federated Web SSO, po czym kliknij Next.
9. Zaznacz pola wyboru UPN Claim i E-mail Claim , po czym kliknij Next.
10. Zaznacz opcję Pass all UPN suffixes through unchanged, po czym kliknij Next.
11. Zaznacz opcję Pass all E-mail suffixes through unchanged, po czym kliknij Next.
12. Sprawdź, że pole wyboru Enable this resource partner jest zaznaczone, po czym kliknij Next.
13. Kliknij Finish.
14. Prawym klawiszem myszy kliknij nowego partnera zasobów CP&L Enterprises, wskaż New, po czym kliknij Outgoing Custom Claim Mapping .
15. W polu Outgoing custom claim name wpisz ProxyAddresses, po czym kliknij OK.
16. Zamknij konsolę Active Directory Federation Services.
Konfigurowanie współdziałania z AD RMS na komputerze ADFS-RESOURCE
Komputer ADFS-RESOURCE jest członkiem domeny CPANDL, który otrzymuje żądania AD RMS z domeny TREYRESEARCH. W tej części skonfigurujemy zasadę zaufania AD FS, utworzymy niestandardowe oświadczenie dla atrybutu ProxyAddresses w Active Directory, dodamy magazyn kont Active Directory, dodamy AD RMS jako aplikację obsługującą oświadczenia i skonfigurujemy partnera zasobów.
Najpierw skonfigurujemy zasadę zaufania komputera ADFS-RESOURCE dla usługi federacyjnej w domenie CPANDL.
Aby skonfigurować zasadę zaufania na partnerze zasobów AD FS (ADFS-RESOURCE):
1. Zaloguj się na komputerze ADFS-RESOURCE jako CPANDL\ADFSADMIN lub inny użytkownik należący do lokalnej grupy Administrators.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Federation Services.
3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania, klikając Continue.
4. Rozwiń Federation Service, prawym klawiszem myszy kliknij Trust Policy, po czym kliknij Properties.
5. W polu tekstowym Federation Service URI wpisz urn:federation:cpandl.com.
Uwaga
W wartości Federation Service URI rozróżniane są wielkości liter.
6. Upewnij się, że w polu Federation Service endpoint URL wyświetlany jest adres https://ADFS-RESOURCE.cpandl.com/adfs/ls/.
7. Na zakładce Display Name w sekcji Display name for this trust policy wpisz CP&L Enterprises, po czym kliknij OK.
Następnie utworzymy niestandardowe oświadczenie, które będzie używane z AD RMS.
Aby utworzyć niestandardowe oświadczenie:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Organization Claims, wskaż New, po czym kliknij Organization Claim.
3. W polu Claim name wpisz ProxyAddresses.
Uwaga
W wartości nazwy oświadczenia rozróżniane są wielkości liter.
4. Zaznacz opcję Custom claim, po czym kliknij OK.
Następnie dodamy magazyn kont Active Directory do usługi Federation Service dla domeny CPANDL.
Aby dodać magazyn kont Active Directory do komputera ADFS-RESOURCE:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Account Stores, wskaż New, po czym kliknij Account Store.
3. Na stronie Welcome to the Add Account Store Wizard kliknij Next.
4. Na stronie Account Store Type zaznacz opcję Active Directory Domain Services, po czym kliknij Next.
5. Na stronie Enable this Account Store zaznacz pole wyboru Enable this account store, po czym kliknij Next.
6. Na stronie Completing the Add Account Store Wizard kliknij Finish.
7. Podwójnie kliknij oświadczenie organizacyjne E-mail, zaznacz pole wyboru Enabled, wpisz mail w polu LDAP attribute, po czym kliknij OK.
8. Prawym klawiszem myszy kliknij magazyn kont Active Directory, wskaż New, po czym kliknij Custom claim extraction.
9. W polu Attribute wpisz ProxyAddresses, po czym kliknij OK.
10. Zamknij konsolę Active Directory Federation Services.
Następnie dodamy ciąg certyfikacyjny AD RMS jako aplikację obsługującą oświadczenia.
Aby dodać ciąg certyfikacyjny AD RMS jako aplikację obsługującą oświadczenia:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Applications, wskaż New, po czym kliknij Application.
3. Na stronie Welcome to the Add Application Wizard kliknij Next.
4. Na stronie Application Type zaznacz opcję Claims-aware application, po czym kliknij Next.
5. W polu Application display name wpisz AD RMS Certification.
6. W polu Application URL wpisz https://adrms-srv.cpandl.com/\_wmcs/certificationexternal/, po czym kliknij Next.
Uwaga
Adres URL aplikacji jest wrażliwy na wielkość liter i nazwa klastra ekstranetowego AD RMS musi dokładnie odpowiadać wartości URL dla komputera ADRMS-SRV. Jeśli wartości te będą się różnić, AD FS nie będzie funkcjonować.
7. Na stronie Accepted Identity Claims zaznacz pola wyboru User principal name (UPN) oraz E-mail, po czym kliknij Next.
8. Na stronie Enable this Application zaznacz pole wyboru Enable this application, po czym kliknij Next.
9. Kliknij Finish na stronie Completing the Add Application Wizard.
10. W panelu zadań kliknij podwójnie ProxyAddresses, zaznacz Enabled, po czym kliknij OK.
Poniższa procedura powala dodać ciąg licencyjny AD RMS jako aplikację obsługującą oświadczenia.
Dodawanie licencjonowania AD RMS jako aplikacji obsługującej oświadczenia:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i My Organization.
2. Prawym klawiszem myszy kliknij Applications, wskaż New, po czym kliknij Application.
3. Na stronie Welcome to the Add Application Wizard kliknij Next.
4. Na stronie Application Type zaznacz opcję Claims-aware application, po czym kliknij Next.
5. W polu Application display name wpisz AD RMS Licensing.
6. W polu Application URL wpisz https://adrms-srv.cpandl.com/\_wmcs/licensingexternal/, po czym kliknij Next.
Uwaga
Adres URL aplikacji jest wrażliwy na wielkość liter i nazwa klastra ekstranetowego AD RMS musi dokładnie odpowiadać wartości URL dla komputera ADRMS-SRV. Jeśli wartości te będą się różnić, AD FS nie będzie funkcjonować.
7. Na stronie Accepted Identity Claims zaznacz pola wyboru User principal name (UPN) oraz E-mail, po czym kliknij Next.
8. Na stronie Enable this Application zaznacz pole wyboru Enable this application, po czym kliknij Next.
9. Kliknij Finish na stronie Completing the Add Application Wizard.
10. W panelu zadań kliknij podwójnie ProxyAddresses, zaznacz Enabled, po czym kliknij OK.
Następnie dodamy partnera kont na komputerze ADFS-RESOURCE. Będzie on odbierał żądania z komputera ADFS-ACCOUNT w domenie TREYRESEARCH.
Aby dodać partnera kont na komputerze ADFS-RESOURCE:
1. W konsoli Active Directory Federation Services rozwiń kolejno węzły Federation Service, Trust Policy i Partner Organizations.
2. Prawym klawiszem myszy kliknij Resource Partners, wskaż New, po czym kliknij Account Partner.
3. Na stronie Welcome to the Add Account Partner Wizard kliknij Next.
4. Na stronie Import Policy File zaznacz opcję No, po czym kliknij Next.
5. Na stronie Resource Partner Details wpisz Trey Research w polu Display name.
6. W polu Federation Service URI wpisz urn:federation:treyresearch.net.
7. W polu Federation Service endpoint URL wpisz https://adfs-account.treyresearch.net/adfs/ls/, po czym kliknij Next.
8. Na stronie Account Partner Verification wpisz ścieżkę, w której przechowywany jest certyfikat podpisywania żetonu, po czym kliknij Next.
9. Zaznacz opcję Federated Web SSO, po czym kliknij Next.
10. Zaznacz pola wyboru UPN Claim oraz E-mail Claim , po czym kliknij Next.
11. Na stronie Accepted UPN Suffixes wpisz treyresearch.net, kliknij Add, po czym kliknij Next.
12. Na stronie Accept E-mail Suffixes wpisz treyresearch.net, kliknij Add, po czym kliknij Next.
13. Upewnij się, że pole wyboru Enable this account partner jest zaznaczone, po czym kliknij Next.
14. Kliknij Finish.
15. Prawym klawiszem myszy kliknij partnera kont Trey Research, wskaż New, po czym kliknij Incoming Custom Claim Mapping.
16. W polu Incoming custom claim name wpisz ProxyAddresses, po czym kliknij OK.
17. Zamknij konsolę Active Directory Federation Services.
Do początku strony
Krok 4: Konfigurowanie ADRMS-SRV do współdziałania z AD FS
Windows Server 2008 zawiera opcję instalacji wsparcia tożsamości federacyjnych w AD RMS jako usługi roli. Instalację taką można wykonać za pośrednictwem konsoli Server Manager. W tej części poradnika zostaną przedstawione następujące zadania:
• Przyznanie przywilejów inspekcji zabezpieczeń dla konta usługi AD RMS
• Dodanie adresów URL ekstranetowego klastra AD RMS
• Dodanie usługi roli AD RMS Identity Federation Support
• Włączenie funkcji Identity Federation Support w konsoli Active Directory Rights Management Services
Przyznanie przywilejów inspekcji zabezpieczeń dla konta usługi AD RMS
Konto usługi AD RMS musi być w stanie generować zdarzenia inspekcji zabezpieczeń podczas korzystania z mechanizmu AD FS.
Aby przyznać przywilej inspekcji zabezpieczeń dla konta usługi AD RMS:
1. Kliknij Start, wskaż Administrative Tools, po czym kliknij Local Security Policy.
2. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
3. Rozwiń węzeł Local Policies, po czym kliknij User Rights Assignment.
4. Podwójnie kliknij Generate security audits.
5. Kliknij Add User or Group.
6. Wpisz cpandl\adrmssrvc, po czym kliknij OK.
7. Kliknij OK, aby zamknąć kartę właściwości Generate security audits.
Dodanie adresów URL ekstranetowego klastra AD RMS
Klienci z włączoną obsługą AD RMS wykorzystujący chronioną zawartość za pośrednictwem relacji zaufania federacji używają adresów URL ekstranetowego klastra AD RMS do tworzenia certyfikatów uprawnień konta.
Ostrzeżenie
Adresy URL klastra AD RMS muszą zostać dołączone przed dodaniem usługi roli Identity Federation Support za pomocą konsoli Server Manager. Jeżeli adresy te nie zostaną zdefiniowane wcześniej, konieczne będzie ręczne edytowanie plików If the cluster URLs web.config w katalogach certificationexternal oraz licensingexternal.
Aby dodać adresy URL ekstranetowego klastra AD RMS:
1. Zaloguj się na komputerze ADRMS-SRV przy użyciu konta CPANDL\ADRMSADMIN.
2. Otwórz konsolę Active Directory Rights Management Services. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Rights Management Services.
3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
4. Prawym klawiszem myszy kliknij adrms-srv.cpandl.com, po czym kliknij Properties.
5. Kliknij zakładkę Cluster URLs, a następnie zaznacz pole wyboru Extranet URLs.
6. W części Licensing kliknij https:// i wpisz adrms-srv.cpandl.com.
7. W części Certification kliknij https:// i wpisz adrms-srv.cpandl.com.
8. Kliknij OK.
Dodawanie usługi roli AD RMS Identity Federation Support
Następnie użyjemy konsoli Server Manager w celu dodania usługi roli Identity Federation Support.
Aby dodać usługę roli Identity Federation Support:
1. Zaloguj się na komputerze ADRMS-SRV przy użyciu konta CPANDL\ADRMSADMIN.
2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.
3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
4. Kliknij Active Directory Rights Management Services w polu Roles Summary, po czym kliknij Add Role Services .
5. Zaznacz pole wyboru Identity Federation Support. Upewnij się, że jako wymagana rola usługi wyświetlany jest Claims-aware Agent role service , po czym kliknij Add Required Role Services.
6. Kliknij Next.
7. Na stronie Configure Identity Federation Support wpisz adfs-resource.cpandl.com, kliknij Validate, po czym kliknij Next.
8. Na stronie Introduction to AD FS kliknij Next.
9. Na stronie AD FS Role Service upewnij się, że pole wyboru przy Claims-aware Agent jest zaznaczone, po czym kliknij Next.
10. Kliknij Install, aby dodać usługę roli Identity Federation Support do komputera ADRMS-SRV.
11. Kliknij Finish.
Włączanie funkcji Identity Federation Support w konsoli Active Directory Rights Management Services
Po uaktywnieniu funkcja Identity Federation Support pozwala kontom użytkowników na używanie poświadczeń utworzonych przez federacyjną relację zaufania za pośrednictwem Active Directory Federation Services (AD FS) jako podstawy do otrzymywania certyfikatów uprawnień konta z klastra AD RMS.
Aby włączyć funkcję AD RMS Identity Federation Support w konsoli Active Directory Rights Management Services:
1. Zaloguj się na komputerze ADRMS-SRV przy użyciu konta CPANDL\ADRMSADMIN.
2. Otwórz konsolę Active Directory Rights Management Services i rozwiń gałąź klastra AD RMS.
3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.
4. W drzewie konsoli rozwiń gałąź Trust Policies,po czym kliknij Federated Identity Support.
5. Kliknij Enable Federated Identity Support w panelu Actions.
6. Kliknij Properties w panelu Actions.
7. Na zakładce Active Directory Federation Service Policies wpisz 7 w polu Federated Identity Certificate validity period . Jest to liczba dni ważności certyfikatu federacyjnych praw konta.
8. Kliknij OK.
Do początku strony
Krok 5: Weryfikowanie funkcjonalności AD RMS
Klient AD RMS jest dołączony do domyślnej instalacji systemów operacyjnych Windows Vista oraz Windows Server 2008. Dostępne są wersje klienta dla niektórych spośród wcześniejszych wersji systemu operacyjnego Windows. Więcej informacji zawiera strona Windows Server 2003 Rights Management Services w witrynie Microsoft Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=68637).
Zanim możliwe będzie korzystanie z chronionej zawartości, należy dodać adresy URL klastra AD RMS, serwera ADFS-RESOURCE oraz serwera ADFS-ACCOUNT do strefy zabezpieczeń Local Intranet komputera ADRMS-CLNT2. Jest to niezbędne, aby poświadczenia zostały automatycznie przekazane przez program Microsoft Office Word do usług Web AD RMS.
Aby dodać wymagane adresy URL do strefy zabezpieczeń Local Intranet programu Internet Explorer:
1. Zaloguj się na komputerze ADRMS-CLNT2 jako Terence Philip (TREYRESEARCH\tphilip).
2. Kliknij Start, następnie Control Panel, dalej Network and Internet i na koniec Internet Options .
3. Kliknij zakładkę Security, po czym kliknij Local Intranet.
4. Kliknij Sites, po czym kliknij Advanced.
5. W polu Add this website to the zone wykonaj kolejno:
a. Wpisz https://adrms-srv.cpandl.com, po czym kliknij Add.
b. Wpisz https://adfs-resource.cpandl.com, po czym kliknij Add.
c. Wpisz https://adfs-account.treyresearch.net, po czym kliknij Add.
Aby zweryfikować funkcjonowanie wykonanego wdrożenia AD RMS, zalogujemy się jako Nicole Holliday i ograniczymy uprawnienia do dokumentu Microsoft Word 2007, aby Terrence Philip był w stanie odczytać ten dokument, ale nie mógł go zmienić, wydrukować ani skopiować. Następnie zalogujemy się jako Terence Philip, aby sprawdzić, że ma on odpowiednie uprawnienia do odczytania dokumentu, ale do niczego więcej.
Aby ograniczyć uprawnienia do dokumentu programu Microsoft Word:
1. Zaloguj się na komputerze ADRMS-CLNT jako Nicole Holliday (cpandl\NHOLLIDA).
2. Kliknij Start, wskaż All Programs, wskaż Microsoft Office, po czym kliknij Microsoft Office Word 2007 .
3. W pustym dokumencie wpisz tekst Only Terence Philip can read this document, but cannot change, print, or copy it [Tylko Terence Philip może odczytać ten dokument, ale nie może go zmienić, wydrukować ani skopiować]. Kliknij przycisk Microsoft Office, wskaż Prepare, wskaż Restrict Permission, po czym kliknij Restricted Access.
4. Kliknij pole wyboru Restrict permission to this document.
5. W polu tekstowym Read wpisz TPHILIP@TREYRESEARCH.NET, po czym kliknij OK, aby zamknąć okno dialogowe Permission.
6. Kliknij przycisk Microsoft Office, kliknij Save As, po czym zapisz plik jako \\adrms-db\public\ADRMS-TST.docx
7. Wyloguj się z komputera.
Na koniec zalogujemy się jako Terence Philip na komputerze ADRMS-CLNT2 należącym do domeny TREYRESEARCH.NET i spróbujemy otworzyć dokument ADRMS-TST.docx.
Aby przejrzeć chroniony dokument:
1. Zaloguj się na komputerze ADRMS-CLNT2 jako Terence Philip (TREYRESEARCH\tphilip).
2. Kliknij Start, wskaż All Programs, wskaż Microsoft Office, po czym kliknij Microsoft Office Word 2007 .
3. Kliknij the Microsoft Office Button, kliknij Open, po czym wpisz \\ADRMS-DB\PUBLIC \ADRMS-TST.docx. Jeżeli pojawi się monit o podanie poświadczeń, użyj konta TREYRESEARCH\tphilip.
Pojawi się następujący komunikat: " Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com/\_wmcs/licensing to verify your credentials and download your permission. "
[Uprawnienia do tego dokumentu są aktualnie ograniczone. Microsoft Office musi się połączyć ze stroną https://adrms-srv.cpandl.com:443/\_wmcs/licensing w celu zweryfikowania twoich poświadczeń i pobrania zezwolenia.]
4. Kliknij OK.
Pojawi się komunikat: " Verifying your credentials for opening content with restricted permissions… ".[Trwa weryfikowanie poświadczeń w celu otwarcia zawartości z ograniczonymi uprawnieniami...]
5. Gdy dokument się otworzy, kliknij przycisk Microsoft Office. Zwróć uwagę, że opcja Print nie jest dostępna.
6. Kliknij przycisk View Permission w pasku komunikatów. Powinieneś zobaczyć, że Terence Philip ma uprawnienia ograniczone jedynie do odczytu dokumentu.
7. Kliknij OK, aby zamknąć okno dialogowe My Permissions, po czym zamknij program Microsoft Word.
Zakończyliśmy wdrażanie i zademonstrowaliśmy wykorzystanie tożsamości federacyjnych w połączeniu AD RMS na na prostym przykładzie ograniczania uprawnień dla dokumentu Microsoft Word 2007. Czytelnik może wykorzystać wykonaną instalację do zapoznania się z innymi możliwościami AD RMS poprzez dodatkową konfigurację i testy.
| Do początku strony |