İlkini aşağıdaki yazıda paylaştığım Hybrid yapıda Office 365 kullanımı ve Single Sign-On için Active Directory tarafında yapılacak işlerin ikinci bölümünde Active Directory Federation Server kurulumunu ve kullanılacak sertifikanın Public bir Certification Authority’den (internal bir CA ile de denenebilir ama public bir CA kullanmanızı öneririm) nasıl alınacağını anlatıyor olacağım.
Hybrid Office 365 Deployment (Geçiş) için Active Directory’nin Hazırlanması – UPN Suffix – Bölüm 1
Yapımızı tekrar hatırlayalım. Bu yazıda ADFS Server, adfsserver.mshowto.local isimli sunucu üzerinde işlem yapıyor olacağız.
Resim-1
Bu sunucu üzerinde Add Roles and Features’i açın.
Resim-2
Role-based or feature-based installation’ı seçin ve devam edin.
Resim-3
Active Directory Federation Services’i ve Web Server (IIS)’i seçin.
Resim-4
Ve yüklemeyi tamamlayın. Unutmadan hatırlatmak istiyorum. Server 2012 R2 ile beraber ADFS hizmetini kurgulayacaksanız daha önceki sürümlerde (Server 2008 vb.) gereklilik olan IIS’i kurmanıza gerek yoktur. Burada IIS kurma amacımız sertifika isteği oluşturmak için kullanacak olmamız.
Resim-5
Kurulum sonrasında sıra konfigürasyona geldi. Configure the Federation Service on This Server’a tıklayın.
Resim-6
Önünüze gelen yeni sihirbaz ekranında Create the First Federation Server in a Federation Server Farm’ı seçip Next diyerek devam edin. Eğer ADFS farm’ı oluşturmak isteğiniz bulunuyorsa Primary ADFS’i kurduktan sonra ikinci seçeneği seçerek devam edebilirsiniz.
Resim-7
Domain Admin yetkisine sahip bir kullanıcı tanımı yapın.
Resim-8
Ve şimdi kullanıcılarınızın bağlanacakları ismi ve bu ismi taşıyan sertifikayı seçmeye sıra geldi. Sunucunuz üzerinde daha önce bir sertifika tanımlanmamış ise bu pencerede ki ilgili alanlar boş gelecektir. Şimdi bu pencereyi bu adımda bırakıp daha önce kurulumunu tamamladığımız IIS’e bir sertifika isteği oluşturmak için dönelim.
Resim-9
ADFS üzerinde Server Certificates’e tıklayın.
Resim-10
Ve açılan pencerede Create Certificate Request’i seçin.
Resim-11
ADFS ismim olarak FS.BENEMRE.COM’u kullanıyor olacağım. Dilerseniz farklı isimleri de tercih edebilirsiniz (mesela sts.domain.com gibi) fakat bu şekilde isim kullanımı oldukça yaygın durumda. Karar sizin. Sertifika isteği oluşturmak için gerekli olan diğer adımları istediğiniz şekilde oluşturun. Unutmayın bu bilgiler sertifikanız içinde görünebilir olacak.
Resim-12
Bit Length’i 2048 seçin.
Resim-13
Ve bu isteği bir text belgesi olarak oluşturun.
Resim-14
Ben c:\cert.txt olarak kayıt ettim. Dosyanın içeriği ise aşağıdaki gibi.
Resim-15
Şimdi artık bir public CA’e sertifika isteği yapmaya sıra geldi. Dilerseniz Internal bir CA ile de deneyebilirsiniz ama pek önerilen ve %100 verim alabileceğiniz bir yöntem değil. Ben http://www.freessl.com‘ı tercih ediyorum. 1 aylık free bir sertifika alacağım. Adımlara beraber bakalım.
https://products.geotrust.com/orders/freessl.do?ref=freessl adresini 1 aylık ücretsiz sertifika isteği oluşturmak için kullanabilirsiniz.
Daha önceki adımlarda IIS üzerinde oluşturduğumuz dosya içeriğini sayfada ki ilgili alana yapıştırın ve Continue diyerek devam edin.
Resim-16
Sertifika içinde sizin oluşturduğunuz bilgileri sayfada göreceksiniz. SHA1 kullanmamanız ve bunun 2016 sonunda artık desteklenmeyeceğine dair bir uyarı var. Bunu da not edin derim. Bu tarzda public sertifikalarınız varsa dikkat etmekte fayda var.
Resim-17
Domaininize ait yetkili bir mail adresini seçin ve devam edin.
Resim-18
Telefon numaranızı girin akabinde bir robot sizi arayacak. Please Call Now’ı tıklayın. Telefonda ki konuşmanın metnini aynı sayfada görebilirsiniz.
Resim-19
Ekrandaki konu konuşma esnasında telefonunuzda tuşlayın.
Resim-20
Daha önceki adımlarda verdiğiniz mail adresinize sertifikanızın gönderileceğini ve bunu onaylıyorsanız mail içindeki linke tıklamanız gerektiğini anlatan bir mail bu adımda alıyor olmanız gerekiyor. Mail içindeki linke tıklayın.
Resim-21
Açılan sayfada I Approve’a tıklayın ve sertifikanız mail adresinize gelsin.
Resim-22
İşte son mail.
Resim-23
Ve buda sertifika. Buradaki içeriği alıp bir text belgesi olarak kayıt edin.
Resim-24
Tekrar IIS sunucumuza dönelim. Ve burada Complete Certificate Request’e tıklayın. Açılan pencerede ise mailinizde aldığınız ve text olarak kayıt ettiğiniz sertifika dosyasını burada gösterin.
Resim-25
Benim cevaplarım aşağıdaki gibi.
Resim-26
Ve son durumda IIS’te ki görüntü aşağıdaki gibi.
Resim-27
Şimdi yazının ortasında bir yerde yarıda bıraktığımız ADFS Configuration Wizard’a geri dönelim. Sihirbazda bir pencere önceye dönüp sonra tekrar aynı pencereye geri gelen. Previous ve Next yani. Bu işlemden sonra IIS’e eklediğiniz sertifikanın artık seçilebilir bir biçimde ekrana geldiğini göreceksiniz. Sertifikayı seçin.
Resim-28
Görüntü aşağıdaki gibi olacak. Display Name olarak yine bağlantı kuracak kişiler tarafından ekranda görünecek olan bir isim verin.
Resim-29
Bir servis hesabı yaratın. Farm’daki tüm ADFS sunucularında bu hesabın çalışması gerektiğini hatırlatmak istiyorum. Wizard bu ekranda işlem yapmanıza ilk anda izin vermez. Bu izni almak için ilk olarak aşağıdaki komutu çalıştırın.
Resim-30
KDS Root Key’i ayarlamak için çalıştırılması gereken komut.
add-kdsrootkey -effectivetime (get-date).addhours(-10)
Resim-31
Ve ekranda işlem yapabilir hale geldik. Daha önce bu iş yarattığınız bir hesabınız varsa Select diyerek seçebilirsiniz.
Resim-32
Daha önce bu iş yarattığınız bir hesabınız bulunmuyorsa Create a Group Managed Service Account’u seçerek bir hesap adı yazın.
Resim-33
İlk yazıda açıkladığım gibi ADFS, konfigürasyon bilgisi için Database olarak iki farklı yöntemi kullanabiliyor. Dilerseniz Windows Internal Database’i kullanabilirsiniz. Ya da SQL iyi bir seçenek olabilir. Benim kişisel tercihim production ortamları için SQL Server. Fakat daha küçük ya da test ortamlarında WID ile de bu adımı geçebilirsiniz.
Resim-34
Ve Primary ADFS için herşey tamam gibi. Next, Next, Configure diyerek işlemi tamamlayın.
Resim-35
Resim-36
Resim-37
Local DNS Konfigürasyonu
Sertifika ve Primary ADFS kurulumdan sonra sıra fs.benemre.com ismi için local DNS’te oluşturmamız gereken kayıda geldi. Fs.benemre.com ismi Public bir isim olduğu için isim çözümlemelerinde ya da ADFS ortamınıza birden fazla sunucu eklemek istediğiniz FARM senaryolarında sorun yaşamamak adına bu isme ait olan local IP adresini local DNS’te sabitleyelim. Benemre.com Public bir isim olduğu için Domain’e ait olan tüm kayıtları DNS oluşturmak istemediğim için ve bana gerekli olan tek kayıt fs.benemre.com olduğu için local DNS’te aşağıdaki gibi bir trick ile kayıt oluşturacağım.
Primary Zone ile işe başlayın.
Resim-38
Domain adı olarak benemre.com’u kullanmak yerine fs.benemre.com’u kullanın.
Resim-39
Domain adını oluşturduktan sonra bir host kaydı oluşturup Local ADFS sunucumuzun (bir FARM ortamı olsaydı FARM IP’sini ya da bir diğer deyiş ile NLB IP’sini) IP’sini girelim. Name kısmını boş bırakıyoruz.
Resim-40
Ve herşey tamam.
Birazda Kontrol Edelim
Local’de kurduğumuz ve henüz internete (Proxy sunucuları henüz kurulmadı) sistemin çalışıp çalışmadığını hızlıca test edelim. Aşağıdaki link sistem düzgün çalışıyorsa bize aşağıdaki sayfa gibi bir response vermeli.
https://fs.benemre.com/adfs/ls/idpinitiatedsignon.htm
Resim-41
Ya da aşağıdaki link sistem düzgün çalışıyorsa bize aşağıdaki sayfa gibi bir response vermeli.
https://fs.benemre.com/federationmetadata/2007-06/federationmetadata.xml
Resim-42
Enable Windows Remote Management 2.0
Unutmadan son bir adım. Windows Remote Management (WRM)’in sistem üzerinde açık olması gerekiyor. Eğer açık değil ise aşağıdaki komutu kullanarak bu işlemi tüm ADFS sunucularınızda çalıştırıp tüm yapıyı uzak sunuculardan da yönetebilirsiniz.
Enable-PSRemoting -force
Resim-43
Serinin üçüncü yazısında ADFS Proxy sunucusunu kurup konfigüre edeceğiz ve yapıyı artık internete açacağız.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Yorumlar (3)