1. Ana Sayfa
  2. Exchange Server 2013
  3. Exchange 2013 ve Office 365 Hybrid Yapıda Ortamın ADFS için Hazırlanması

Exchange 2013 ve Office 365 Hybrid Yapıda Ortamın ADFS için Hazırlanması

Hybrid yapılandırmasının ilk adımında Hybrid olarak kullanacağımız domaini organizasyonumuza verify ettik. Yapılandırmamızın şimdiki bölümünde ortama Single Sign On yapısını implemente etmemiz gerektiği için, bu yapılandırma için ortamın hazırlanmasına değineceğiz.

Single Sign On (ADFS) yapısı için ilk gereksinim ADFS sunucular ve ADFS Proxy sunuculara yüklenecek olan public bir SSL sertifikasıdır. Başlarda bahsettiğim gibi ben ADFS Proxy kullanmıyorum, bu yüzden Active Directory’ e bağlı çalışan bir CA’ den de sertifika üretip bu yapılandırma için kullanabilirim. Ancak ben yine de public bir sertifika kullanacağım.

Şimdi public bir SSL sertifikasına neden ihtiyaç duyduğumuzdan bahsedelim. SSO yapısı için önerilen yapılandırma, 2 adet iç networkte çalışan ADFS sunucu ve DMZ dediğimiz bölgede yapılandırılmış olan 2 adet ADFS Proxy sunucusudur. Bu sunucular kendi aralarında NLB konfigürasyonu içerisinde olmalıdır.

Eğer SSO yapısını sadece iç networkte çalıştıracaksanız belirttiğim gibi public bir sertifikaya ihtiyaç yoktur. AD ortamında çalışan bir CA’ den ürettiğiniz sertifikayı kullanabilirsiniz. Çünkü clientların güvenilen kök sertifikalarında sizin CA’ iniz bulunacaktır. Bu bağlantılarda sertifika ile ilgili bir problem yaşanmayacaktır.

Bunun yanında ADFS yapısını dışarıya da açacaksanız, ADFS Proxy sunucusu yapılandırmanız gerekmektedir. Bu sunucu veya sunucuları DMZ bölgesine yapılandırdığımız için ve bu sunucuların görevi internet ortamından gelen bağlantı ve kimlik doğrulama isteklerini iç networkte çalışan ADFS sunuculara iletmek olduğu için muhakkak güvenilen otoritelerden alınmış public bir sertifika kullanılması gerekmektedir. Çünkü internet ortamından kimlik doğrulamaya çalışan bir kullanıcı proxyler vasıtasıyla ADFS login sayfasına yönlendirilir. Eğer sizin kullandığınız sertifika public değilse, bu hedefe güvenli bir bağlantı gerçekleşmediği için login sayfası açılmaz. Bunun nedeni sizin kimlik doğrulamaya çalıştığınız bilgisayarda, gitmeye çalıştığınız federayon URL’ i için kullanılan sertifikanın root unun güvenilen root sertifikalar içerisinde bulunmamasıdır. Public sertifika otoriteleri genelde tüm bilgisayarlarda gömülü geldiği için, bu tür sertifika kullanıldığı vakit bağlantılarda problem çıkmaz.

Önemli bir diğer nokta ise kullanacağınız sertifikanın common name i dir. Sertifikanın cn’ i federasyon servis ismini ile aynı olmalıdır. Örnek olarak siz federasyon servis ismini “sso.domain.com” olmasını planlıyorsanız, alacağınız sertifikanın cn’ i mutlaka “sso.domain.com” olmalıdır.


Resim-1

Ben burada Exchange üzerinde kullandığım sertifikadan yararlanacağım. Federasyon servis ismini “sso.olcyerkn.com” olarak vermeyi planlıyorum ve Exchange Server üzerinde kullandığım sertifikanın Subject Alternate Name’ leri içerisinde “sso.olcyerkn.com” mevcut. Bu yüzden bu sertifikayı kullanabilirim.


Resim-2

İlk olarak sertifikayı Exchange Server üzerinden export etmem gerekiyor. Bu yüzden Exchange Admin Center’ a giriş yapıyorum.


Resim-3

Exchange Server’ ım üzerinde kullandığım sertifikanın detayları yukarıdaki gibi. Görüldüğü üzere benim için gerekli olan “sso.olcyerkn.com” ismi de sertifika üzerinde mevcut.


Resim-4

EAC’ dan “certificates” kısmına gidiyorum ve “Export Exchange certificate” diyorum.


Resim-5

Export edilen sertifikanın kaydedileceği yeri belirliyorum ve daha sonra bu setifikayı import ederken sorulacak olan bir şifre belirliyorum.


Resim-6

Sertifika belirttiğim yere .pfx uzantılı olarak başarılı bir şekilde export edildi. Bu sertifikayı ADFS yapılandırmasını yaparken daha sonra kullanacağım.

Sertifika için gereksinimlerimi hazır hale getirdikten sonra DNS üzerindeki düzenlemelere geçiyorum. Federasyon servis ismi olarak “sso.olcyerkn.com” u kullanacağımı belirtmiştim. Bu yüzden DNS üzerinde bu şekilde bir A kaydı oluşturmam gerekli. Oluşturduğum A kaydı da hedef olarak ADFS komponentlerini yapılandırmayı planladığım ADFS sunucusunu göstermeli. Eğer NLB li bir yapı kurmayı tercih etseydik buradaki hedef adres ise NLB’ nin cluster IP’ si olacaktı.


Resim-7

DNS üzerinde “olcyerkn.com” zone u içerisinde ADFS sunucusu olarak yapılandırmayı planladığım 192.168.1.3 IP’ li makineyi işaret eden “sso.olcyerkn.com” adında bir A kaydı oluşturuyorum ve ADFS yapılandırması için hazırlıklarımı tamamlıyorum.

Not: ADFS konfigürasyonunda bir sıkıntı yaşamamanız için federasyon servis ismi ile ADFS sunucu olarak kullandığınız makinenin isminin aynı olmamasına dikkat etmenizi öneririm. Örnek olarak; eğer ADFS sunucunuzun ismi “adfs” ise bunun üzerine gidip ADFS servis ismini de “adfs” olarak belirlerseniz DNS’ te açığınız kayıtlardan dolayı bir çakışma olacağından yapılandırma düzgün çalışmayabilir. ADFS servis ismi olarak önerim “sts” veya “sso” değerlerini kullanmanızdır.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

Edirne doğumluyum. Dokuz Eylül Üniversitesi lisans eğitimimi tamamlamamın ardından, Sistem ve Network teknolojileri ile ilgilenerek edindiğim tecrübeleri Sanallaştırma ve Bulut Bilişim alanında özelleştirdim. Sektör içerisinde bir eğitim firmasında sistem eğitmeni olarak görev aldım. Şu anda PeakUp Bilişim Danışmanlık bünyesinde, Bulut Bilişim Altyapı Danışmanı olarak çalışmalarımı sürdürmekteyim. Office 365 ve Azure Platformlarına ilişkin yapılandırma ve geçiş süreçlerini yönetmekteyim.

Yorum Yap