Active Directory Federation Services ile ilgili ilk makalemizde, AD FS’ nin ne olduğunu ve nasıl dizayn edildiğinden bahsetmiştik. Bu makalemizde AD FS kurulumunu yapıp iki domain arasında federasyon oluşturma, sertifika tanımlama ve IIS servisinin nasıl yapılandırıldığına bir göz atalım. Yapılacak olan uygulamada mehmetozgal domaininden gelen kullanıcı mshowto.org domaini üzerinde bulunan web tabanlı uygulamayı çalıştırması için ne tür işlemler yapılması gerektiği anlatılacaktır. Uygulama yapılacak bilgisayarlar için aşağıdaki konfigurasyonlar yapılmıştır.
- ADFS: 10.0.0.1 (Domain:mehmetozgal.com) Windows Server 2008 Enterprise 32 Bit
- ADFS1: 10.0.0.2 (Domain:mshowto.org) Windows Server 2008 Enterprise 32 Bit
- ADFSWEB: 10.0.0.3 Windows Server 2008 Enterprise 32 Bit (mshowto.org domainine üye pc )
1-) Federation Service rolünü kuracağınız sunucular üzerinde Server Management Consoleà Server Roles kısmından “Add Roles” seçeneğini işaretleyin.
2-) Açılan pencerede Active Directory Federation Services seçeneğini işaretleyin.
Şekil-1
3-) Active Directory Federation Services seçeneği işaretlendiğinde bu servisin düzgün çalışabilmesi için aşağıdaki servislerin kurulmasına dair bir uyarı penceresi çıkmaktadır.Add Required Role Services seçeneğini işaretleyip devam edin.
Şekil-2
4-) Federation Services seçeneğini işaretleyip devam edin.
Şekil-3
5-) Ortamda bir CA bulunmadığı için “Create self-signed certificate for SSL Encryption” seçeneğini işaretleyin.
Şekil-4
6-) Create a self-signed token signing certificate seçeneğini işaretleyin.Token-signing certificate Federation Server ile doğru bir şekilde bağlantı kurabilmek için yayınlanan bir sertifikadır.
Şekil-5
7-) Create a new trust policy seçeneğini işaretleyin.Bu policy ile birbirleriyle federe olan organizasyonlardaki kullanıcıların hangi kaynaklara erişebileceği belirlenir.
Şekil-6
8-) IIS kurulumunda herhangi bir değişiklik yapmadan devam edip kurulumu bitirin.
Şekil-7
Active Directory Federation Services’ in kurulumdan sonraki görünümü aşağıdaki gibidir.
Şekil-8
9-) Her iki sunucuda IIS Managerà Default Web SiteàSSL SettingsàRequire SSL ve Client Certificates seçeneklerini işaretleyip “Apply” butonu ile değişiklikleri kaydedin.
Şekil-9
10-) Web server olarak kullanılacak bilgisayar üzerinde Claim Aware Agent rolünü kurun .Bu rol kurulurken IIS servisininde kurulmasını istemektedir. “Add Requried Role Services” seçeneğini seçip devam edin.
Şekil-10
11-) Client Certificate Mapping Authentication seçeneğini ve IIS Management Console seçeneklerini işaretleyip kurulumu sonlandırın.
Şekil-11
12-) IIS MangeràServer İsmine tıklayıp Actions kısmında “Create Self-Signed Certificate” seçeneğin işaretleyip sertifika için bir isim belirtin.
Şekil-12
13-) Web server’a erişecek domain (mehmetozgal.com) üzerinde token-signing sertifikasını export edin.Bunun için Federation ServeràPproperties sekmesini açın.Açılan pencerede “General” tabında view butonun tıklayıp copy to a file butonuna tıklayın.
Şekil-13
14-) Açılan pencerede sertifika lokasyonunu ve adını belirtip sertifika export işlemini tamamlayın.
Şekil-14
15-) Server authentication sertifikasını erişilecek domain (mshowto.org) üzerinde export edin.IIS ManageràMakine adına tıklayıp orta kısımda bulunan Server Certificates ikonuna tıklayıp sertifikayı export edip complex bir şifre tanımlayın.
Şekil-15
16-) Web server üzerinde mmcàAdd/Remove snap-inàCertificatesàLocal Computer seçip Certificates konsolunu açın
17-) Trusted Root Certification AuthoritiesàCertificatesàSağ klikàImport’ a tıklayıp oluşturulmuş olan sertfifikanın yerini gösterin.Diğer pencerede daha önce girilmiş olan şifreyi yazıp import etme işlemini tamamlayın.
Şekil-16
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
hocam yazıda karışıklık var, daha doğrusu anlatımda sanırım. “Create Self-Signed Certificate hangi server’da yapılacak, sertifika import işlemi hangi makinada yapılacak belli değil. emeğiniz içinse teşekkürler, çok önemli bilgiler vermişsiniz.