download.microsoft.comdownload.microsoft.com/documents/rus/windowsserver2008/... · Web view6. Нажмите кнопку Microsoft Office, выберите команду Save As

Пошаговое руководство по использованию федерации удостоверений со службой управления правами Active Directory

Корпорация Майкрософт

Дата опубликования: Сентябрь 2007 г.

Автор: Брайан Лич (Brian Lich).

Редактор: Кэролин Эллер (Carolyn Eller).

Краткий обзорВ настоящем руководстве содержатся инструкции по настройке тестовой среды, предназначенной для развертывания и оценки работы службы управления правами Active Directory (Active Directory Rights Management Services, AD RMS) с поддержкой федеративных удостоверений в составе ОС Windows Server® 2008. Руководство содержит необходимые сведения об установке и настройке службы AD RMS, AD FS, а также о проверке функций службы AD RMS по завершении настройки.

1

Настоящий документ относится к предварительной версии программного продукта, который может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на условиях соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты, логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается.

На содержащиеся в документе материалы может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает каких-либо разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения с корпорацией Майкрософт.

© Корпорация Майкрософт, 2007. Все права защищены.

Microsoft, Active Directory, MS-DOS, Windows, Windows NT и Windows Server являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и/или в других странах.

Все другие товарные знаки являются собственностью их соответствующих владельцев.

2

СодержаниеПошаговое руководство по использованию федерации удостоверений со службой

управления правами Active Directory........................................................................................5О настоящем руководстве.........................................................................................................5

Вопросы, не рассматриваемые в настоящем руководстве.................................................6Развертывание службы AD RMS с поддержкой федерации удостоверений в тестовой

среде....................................................................................................................................... 6

Этап 1. Настройка домена компании CP&L Enterprises.............................................................8Установка ОС Windows Server 2008 Enterprise на компьютер, выступающий в качестве

партнера по ресурсам AD FS (ADFS-RESOURCE)...........................................................9Создание учетной записи пользователя ADFSADMIN.......................................................11Добавление учетной записи пользователя ADFSADMIN в локальную группу

Administrators (администраторы) на компьютере ADFS-RESOURCE............................12

Этап 2. Настройка домена компании Trey Research................................................................12Настройка контроллера домена (TREY-DC).......................................................................13

Установка ОС Windows Server 2003 с пакетом обновления 2 (SP2) на компьютере TREY-DC......................................................................................................................... 13

Установка службы каталогов Active Directory..................................................................14Настройка нового режима работы домена — Windows Server 2003.............................15Настройка пересылки DNS...............................................................................................16Создание учетных записей пользователей.....................................................................17

Настройка компьютера в качестве партнера по учетным записям федерации (ADFS-ACCOUNT)............................................................................................................................ 18

Настройка клиентского компьютера с поддержкой службы AD RMS (ADRMS-CLNT2)......20

Этап 3. Установка и настройка службы AD FS..........................................................................22Установка службы федерации на компьютеры ADFS-RESOURCE и ADFS-ACCOUNT..23Настройка компьютера ADFS-ACCOUNT для работы со службой AD RMS....................24Настройка компьютера ADFS-RESOURCE для работы со службой AD RMS.................27

Этап 4. Настройка компьютера ADRMS-SRV для работы со службой AD FS........................32Предоставление привилегий аудита безопасности учетной записи службы AD RMS.32Добавление URL-адресов кластера экстрасети AD RMS..............................................33Добавление службы роли, поддерживающей федерацию удостоверений AD RMS....33Включение поддержки федерации удостоверений в консоли Active Directory Rights

Management Services (служба управления правами Active Directory)........................34

Этап 5. Проверка работоспособности службы AD RMS...........................................................35

3

Пошаговое руководство по использованию федерации удостоверений со службой управления правами Active Directory

О настоящем руководствеВ настоящем пошаговом руководстве описывается использование службы управления правами Active Directory (AD RMS) и службы федерации Active Directory® (AD FS) в тестовой среде. В частности, в настоящем руководстве рассматривается, как реализовать службу AD RMS, если в организации уже выполнено развертывание службы AD FS и установлено отношение доверия с другой организацией, выполнившей развертывание службы AD RMS. С помощью приведенных в настоящем руководстве сведений можно расширить базовое развертывание службы AD RMS для использования учетных данных AD FS при создании доверенных учетных записей. Это позволит осуществлять совместный доступ к защищенному содержимому с другой организацией, не создавая отдельного доверия.

В настоящем руководстве рассматривается выполнение тестового развертывания, включающего следующие компоненты:

сервер партнера по ресурсам AD FS;

сервер партнера по учетным записям AD FS;

сервер AD RMS;

сервер базы данных AD RMS;

два клиента AD RMS;

два контроллера домена Active Directory.

Настоящее руководство предполагает знание пошагового руководства по службе управления правами Active Directory ОС Windows Server, а также выполнение развертывания следующих компонентов:

сервер AD RMS;

сервер базы данных AD RMS;

один клиент с поддержкой AD RMS;

один контроллер домена Active Directory.

5

Вопросы, не рассматриваемые в настоящем руководствеПеречисленные ниже компоненты отсутствуют в настоящем руководстве.

Обзор службы AD RMS. Подробное описание преимуществ, которые организация может получить благодаря применению службы AD RMS, см. по адресу http://go.microsoft.com/fwlink/?LinkId=84726 (на английском языке).

Инструкции по установке и настройке службы AD RMS в рабочей среде.

Полный технический справочник по службе AD RMS или AD FS.

Руководство по установке службы AD FS с сервером Microsoft Office SharePoint Server 2007 и службой AD RMS. Дополнительные сведения об использовании федерации удостоверений с сервером Office SharePoint Server 2007 и службой AD RMS см. в приложении A документа «Пошаговое руководство по развертыванию службы управления правами Active Directory с сервером Microsoft Office SharePoint Server 2007» (http://go.microsoft.com/fwlink/?LinkId=93136).

Развертывание службы AD RMS с поддержкой федерации удостоверений в тестовой средеПроцедуры, изложенные в настоящем руководстве, рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда предназначены для использования при развертывании продуктов корпорации Майкрософт без дополнительной документации; любое такое руководство следует использовать как самостоятельный документ с осторожностью.

В результате выполнения настоящего пошагового руководства будет сформирована действующая инфраструктура служб AD RMS и AD FS. После этого функции служб AD RMS и AD FS можно будет протестировать и проверить следующим образом:

ограничить разрешения для документа Microsoft Word 2007 в домене CPANDL.COM;

испытать открывание и работу с документом в домене TREYRESEARCH.NET авторизованным пользователем;

испытать открывание и работу с документом в домене CPANDL.COM неавторизованным пользователем.

Тестовая среда, рассматриваемая в настоящем руководстве, состоит из восьми компьютеров, подключенных к частной сети и оснащенных перечисленными ниже операционными системами, приложениями и службами.

Имя компьютера Операционная система Приложения и службы

ADRMS-SRV Windows Server® 2008 AD RMS, службы IIS 7.0, служба веб-публикаций, очередь

6

http://go.microsoft.com/fwlink/?LinkId=93136


Имя компьютера Операционная система Приложения и службы

сообщений

CPANDL-DC

TREY-DC

Windows Server 2003 с пакетом обновления 2 (SP2)

Примечание Возможно использование контроллеров доменов под управлением ОС Windows 2000 Server с пакетом обновления 4 (SP4). Однако в настоящем пошаговом руководстве предполагается использование контроллеров доменов под управлением ОС Windows Server 2003 с пакетом обновления 2 (SP2).

Active Directory, служба доменных имен (DNS)

ADRMS-DB Windows Server 2003 с пакетом обновления 2 (SP2)

Microsoft SQL Server™ 2005 Standard Edition с пакетом обновления 2 (SP2)

ADRMS-CLNT

ADRMS-CLNT2

Windows Vista® Microsoft Office Word 2007 (корпоративный выпуск)

ADFS-RESOURCE

ADFS-ACCOUNT

Windows Server® 2008 Enterprise AD FS, IIS

Примечание Прежде чем устанавливать и настраивать указанные в настоящем руководстве компоненты, необходимо проверить соответствие оборудования минимальным требованиям для работы службы AD RMS (http://go.microsoft.com/fwlink/?LinkId=84733) (на английском языке).

Перечисленные компьютеры формируют две частные интрасети и соединены через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно смоделировать в среде виртуального сервера. Настоящая пошаговая процедура предусматривает применение частных адресов в тестовой среде. Для интрасети используется идентификатор частной сети 10.0.0.0/24. Контроллером домена cpandl.com

7



является компьютер CPANDL-DC, а контроллером домена treyresearch.net — компьютер TREY-DC. Конфигурация тестовой среды изображена на следующем рисунке.

Этап 1. Настройка домена компании CP&L EnterprisesПрежде чем устанавливать службу AD FS и службу роли, поддерживающую федерацию удостоверений AD RMS, необходимо внести изменения в инфраструктуру домена CPANDL. В этом шаге описывается выполнение следующих задач по установке необходимого

8

Федеративное

партнера по ресурсам службы федерации Active Directory, а также добавлению этого партнера в инфраструктуру компании CP&L.

В этом разделе рассматриваются следующие процедуры:

установка ОС Windows Server 2008 Enterprise на компьютер, выступающий в качестве партнера по ресурсам AD FS (ADFS-RESOURCE) ;

создание учетной записи пользователя ADFSADMIN;

добавление учетной записи пользователя ADFSADMIN в локальную группу Administrators (администраторы) на компьютере ADFS-RESOURCE.

Этот этап предполагает предварительное выполнение инструкций, приведенных в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server» (http://go.microsoft.com/fwlink/?LinkId=72134).

При определении соответствующих имен компьютеров, операционных систем и сетевых параметров, необходимых для выполнения инструкций настоящего руководства, используйте приведенную ниже таблицу.

Внимание! Прежде чем настраивать на компьютерах статические IP-адреса, рекомендуется провести на них активацию Windows, пока связь каждого из этих компьютеров с Интернетом не утрачена. Кроме того, следует установить все критические обновления безопасности, имеющиеся в Центре обновления Windows (http://go.microsoft.com/fwlink/?LinkID=47290).

Имя компьютера Требования к операционной системе

Настройки IP-протокола

Настройки службы DNS

ADFS-RESOURCE Windows Server® 2008 Enterprise

IP-адрес —

10.0.0.7

Маска подсети —

255.255.255.0

Адрес предпочитаемого DNS-сервера —

10.0.0.1

Установка ОС Windows Server 2008 Enterprise на компьютер, выступающий в качестве партнера по ресурсам AD FS (ADFS-RESOURCE)

В первую очередь установите ОС Windows Server 2008 Enterprise в качестве изолированного сервера на компьютере ADFS-RESOURCE.

Внимание! Для серверов федерации требуется ОС Windows Server 2008 Enterprise.

9

http://go.microsoft.com/fwlink/?LinkID=47290


Установка ОС Windows Server 2008 Enterprise

1. Запустите компьютер с установочного компакт-диска Windows Server 2008.

2. При появлении запроса об указании типа установки выберите Custom Installation (выборочная установка).

3. При появлении запроса об указании имени компьютера введите ADFS-RESOURCE.

4. Для завершения установки выполните все последующие инструкции, выводимые на экран компьютера.

Далее необходимо настроить свойства протоколов TCP/IP таким образом, чтобы компьютеру ADFS-RESOURCE был присвоен статический IP-адрес 10.0.0.7.

Настройка свойств протоколов TCP/IP на компьютере ADFS-RESOURCE

1. Войдите в систему компьютера ADFS-RESOURCE, воспользовавшись учетной записью ADFS-RESOURCE\Administrator или другой учетной записью, входящей в локальную группу Administrators (администраторы).

2. Нажмите кнопку Start (пуск), последовательно выберите Control Panel (панель управления), Network and Internet (сеть и Интернет), дважды щелкните мышью элемент Network and Sharing Center (центр управления сетями и общим доступом), выберите Manage Network Connections (управление сетевыми подключениями), затем щелкните правой кнопкой мыши запись Local Area Connection (подключение по локальной сети) и выберите команду Properties (свойства).

3. На вкладке Networking (сеть) выберите запись Internet Protocol Version 4 (TCP/IPv4) (протокол Интернета версии 4 (TCP/IPv4)) и нажмите кнопку Properties.

4. Установите параметр Use the following IP address (использовать следующий IP-адрес). В поле IP address (IP-адрес) введите 10.0.0.4, а в поле Subnet mask (маска подсети) — 255.255.255.0.

5. Установите параметр Use the following DNS server addresses (использовать следующие адреса DNS-серверов). В поле Preferred DNS server (предпочитаемый DNS-сервер) введите 10.0.0.1.

6. Нажмите кнопку OK и затем закройте диалоговое окно Local Area Connection Properties (свойства подключения по локальной сети) нажатием кнопки Close (закрыть).

Далее следует присоединить компьютер ADFS-RESOURCE к домену CPANDL.

Присоединение компьютера ADFS-RESOURCE к домену cpandl.com

1. Нажмите кнопку Start, щелкните правой кнопкой мыши пункт My Computer (мой компьютер) и выберите команду Properties.

10

2. Нажмите кнопку Change settings (изменить параметры), расположенную в правой части секции Computer name, domain, and workgroup settings (имя компьютера, имя домена и параметры рабочей группы), и выберите Change (изменить).

3. В диалоговом окне Computer Name/Domain Changes (изменение имени/домена компьютера) выберите параметр Domain (домен) и введите cpandl.com.

4. Нажав кнопку More (дополнительно), введите в поле Primary DNS suffix of this computer (основной DNS-суффикс этого компьютера) значение cpandl.com.

5. Дважды нажмите кнопку OK.

6. При появлении диалогового окна Computer Name/Domain Changes с запросом о вводе учетных данных администратора укажите учетные данные записи CPANDL\Administrator и нажмите кнопку OK.

7. Когда в диалоговом окне Computer Name/Domain Changes появится сообщение о присоединении компьютера к домену cpandl.com, нажмите кнопку OK.

8. Когда в диалоговом окне Computer Name/Domain Changes появится оповещение о необходимости перезагрузки компьютера, дважды нажмите кнопку OK, а затем кнопку Close.

9. Нажмите кнопку Restart Now (перезагрузить сейчас).

Создание учетной записи пользователя ADFSADMIN

В этом шаге будет создана учетная запись пользователя ADFSADMIN в службе Active Directory.

Присоединение компьютера ADFSADMIN к домену CPANDL

1. Войдите в систему компьютера CPANDL-DC, воспользовавшись учетной записью CPANDL\Administrator или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, выберите Administrative Tools (администрирование), а затем Active Directory Users and Computers (Active Directory – пользователи и компьютеры). При этом откроется консоль оснастки Active Directory Users and Computers.

3. Раскройте узел cpandl.com в дереве консоли, щелкните правой кнопкой мыши запись Users (пользователи), затем выберите New (создать) и User (пользователь).

4. При появлении диалогового окна New Object – User (создать объект – пользователь) введите ADFSADMIN в полях Full name (полное имя) и User logon name (имя входа пользователя), после чего нажмите кнопку Next (далее).

5. Введите произвольный пароль в полях Password (пароль) и Confirm password (подтверждение пароля) диалогового окна New Object – User. Установив флажок User must change password at next logon (требовать смену пароля при следующем входе в

11

систему), последовательно нажмите кнопки Next и Finish (готово).

Добавление учетной записи пользователя ADFSADMIN в локальную группу Administrators (администраторы) на компьютере ADFS-RESOURCE.Для установки службы AD FS пользователь должен войти в систему локального сервера с правами администратора.

Добавление компьютера ADFSADMIN в группу Administrators

1. Войдите в систему компьютера ADFS-RESOURCE, воспользовавшись учетной записью cpandl\administrator.

2. Нажмите кнопку Start, выберите Administrative Tools и Server Manager (диспетчер сервера).

3. Последовательно раскройте узлы Configuration (настройка) и Local Users and Groups (локальные пользователи и группы), после чего щелкните запись Groups (группы).

4. Щелкнув правой кнопкой мыши группу Administrators, выберите команду Add to Group (добавить в группу).

5. Нажмите кнопку Add (добавить).

6. В окне Select Users, Computers, or Groups (выбор: «пользователи, компьютеры или группы») введите имя cpandl\adfsadmin, затем нажмите кнопку OK.

7. Нажмите кнопку OK, чтобы закрыть лист свойств группы Administrators.

Этап 2. Настройка домена компании Trey ResearchПрежде чем устанавливать службу AD FS и службу роли, поддерживающую федерацию удостоверений AD RMS, необходимо установить и настроить инфраструктуру компании Trey Research. В этом шаге будет выполнена настройка необходимых компьютеров для создания домена компании Trey Research:

настройка контроллера домена (TREY-DC);

настройка компьютера в качестве партнера по учетным записям федерации (ADFS-ACCOUNT);

настройка клиентского компьютера с поддержкой службы AD RMS (ADRMS-CLNT2) .

12

При определении соответствующих имен компьютеров, операционных систем и сетевых параметров, необходимых для выполнения инструкций настоящего руководства, используйте приведенную ниже таблицу.

Внимание! Прежде чем настраивать на компьютерах статические IP-адреса, рекомендуется провести на них активацию Windows, пока связь каждого из этих компьютеров с Интернетом не утрачена.

Имя компьютера Требования к операционной системе

Настройки IP-протокола Настройки службы DNS

TREY-DC Windows Server 2003 с пакетом обновления 2 (SP2)

IP-адрес —

10.0.0.30


255.255.255.0

Настраивается ролью сервера «DNS».

ADFS-ACCOUNT Windows Server® 2008 Enterprise

IP-адрес —

10.0.0.31


255.255.255.0


10.0.0.30

ADRMS-CLNT2 Windows Vista IP-адрес —

10.0.0.32


255.255.255.0


10.0.0.30

Настройка контроллера домена (TREY-DC)Для настройки контроллера домена TREY-DC необходимо установить ОС Windows Server 2003, настроить свойства протокола TCP/IP, установить службу Active Directory, выполнить настройку нового режима работы домена Active Directory — Windows Server 2003, создать учетные записи пользователей. Каждой учетной записи пользователя, настроенной для службы AD RMS, необходимо назначить адрес электронной почты, а также распределить пользователей по группам.

13

Установка ОС Windows Server 2003 с пакетом обновления 2 (SP2) на компьютере TREY-DCВ первую очередь установите ОС Windows Server 2003 с пакетом обновления 2 (SP2) на компьютере TREY-DC.

Установка ОС Windows Server 2003, Standard Edition

1. Запустите компьютер с компакт-диска Windows Server 2003 (для создания домена подходят все выпуски ОС Windows Server 2003, кроме Web Edition).

2. Следуйте инструкциям на экране, а при появлении запроса об указании имени компьютера введите TREY-DC.

Далее необходимо настроить свойства протоколов TCP/IP таким образом, чтобы компьютеру TREY-DC был присвоен статический IP-адрес 10.0.0.30.

Настройка свойств протоколов TCP/IP на компьютере TREY-DC

1. Войдите в систему компьютера TREY-DC, воспользовавшись учетной записью TREY-DC\Administrator или другой учетной записью, входящей в локальную группу Administrators (администраторы).

2. Нажмите кнопку Start, последовательно выберите Control Panel, Network Connections и Local Area Connection, затем нажмите кнопку Properties.

3. На вкладке General (общие) выберите запись Internet Protocol (TCP/IP) (протокол Интернета) и нажмите кнопку Properties.

4. Установите параметр Use the following IP address (использовать следующий IP-адрес). В поле IP address введите 10.0.0.30, а в поле Subnet mask – 255.255.255.0.

5. Нажмите кнопку OK, а затем закройте диалоговое окно Local Area Connection Properties нажатием кнопки Close.

Установка службы каталогов Active DirectoryВ этом шаге выполняется создание контроллера домена компании Trey Research. Важно настроить IP-адреса в соответствии с приведенной выше таблицей, прежде чем устанавливать службу Active Directory. Это обеспечит правильную настройку записей DNS.

Примечание При необходимости уменьшить количество компьютеров, используемых в этом тестировании, можно воспользоваться средством Dcpromo для создания двух новых лесов Active Directory на каждом из двух серверов федерации вместо настройки отдельных контроллеров доменов. Согласно рекомендациям безопасности контроллеры доменов не должны одновременно работать в качестве серверов федерации и контроллеров доменов в рабочей среде.

14

Настройка компьютера TREY-DC в качестве контроллера домена

1. Нажмите кнопку Start и выберите команду Run (выполнить). Введите в поле Open команду dcpromo и нажмите кнопку OK.

2. На странице приветствия мастера установки Active Directory нажмите кнопку Next.3. Нажмите кнопку Next, выбрав вариант Domain controller for a new domain

(контроллер домена в новом домене), нажмите кнопку Next.4. Выбрав вариант Domain in a new forest (новый домен в новом лесу), нажмите

кнопку Next.5. Введите в поле Full DNS name for new domain (полное DNS-имя нового домена)

имя treyresearch.net и нажмите кнопку Next.6. Введите в поле Domain NetBIOS name (NetBIOS-имя домена) имя treyresearch,

после чего трижды нажмите кнопку Next.7. Выберите вариант Install and configure the DNS server on this computer and set

this computer to use this DNS server as its preferred DNS server (установить и настроить DNS-сервер на этом компьютере и назначить использование данным компьютером этого DNS-сервера в качестве предпочитаемого DNS-сервера), затем нажмите кнопку Next.

8. Выберите вариант Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (разрешения, совместимые только с Windows 2000 или Windows Server 2003), затем нажмите кнопку Next.

9. Введите надежный пароль в полях Restore Mode Password (пароль режима восстановления) и Confirm password (подтверждение пароля), после чего нажмите кнопку Next.

10. Нажмите кнопку Next.11. На последней странице мастера установки Active Directory нажмите кнопку Finish.

12. Нажмите кнопку Restart Now (перезагрузить сейчас).

Настройка нового режима работы домена — Windows Server 2003В этом шаге будет выполнена настройка нового режима работы домена Active Directory — Windows Server 2003. Этот новый режим работы позволяет использовать универсальные группы Active Directory.

Настройка нового режима работы домена — Windows Server 2003

1. Войдите в систему компьютера TREY-DC, воспользовавшись учетной записью TREYRESEARCH\Administrator или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, выберите Administrative Tools, а затем Active Directory

15

Users and Computers (Active Directory – пользователи и компьютеры).

3. Щелкнув правой кнопкой мыши запись домена treyresearch.net, выберите команду Raise domain functional level (изменение режима работы домена).

4. В списке, находящемся в секции Select an available domain functional level (выберите режим работы домена), выберите пункт Windows Server 2003 и нажмите кнопку Raise (изменить).

Примечание Режим работы домена, измененный в сторону повышения, впоследствии изменить нельзя.


Настройка пересылки DNSПересылки DNS используются в настоящем руководстве для пересылки DNS-запросов, которые не могут быть разрешены из домена treyresearch.net, в домен cpandl.com и наоборот. Для настройки пересылки DNS необходимо выполнить следующее.

Настройка пересылки DNS на компьютере TREY-DC


2. Нажмите кнопку Start, выберите Administrative Tools и DNS.

3. Щелкнув правой кнопкой мыши запись TREY-DC, выберите пункт Properties.

4. Перейдите на вкладку Forwarders (пересылка).

5. В разделе Selected domain's forward IP address list (список IP-адресов пересылки выбранного домена) введите 10.0.0.1, затем нажмите кнопку Add.

6. Нажмите кнопку ОК.

Далее настройте пересылку DNS на компьютере CPANDL-DC.

Настройка пересылки DNS на компьютере CPANDL-DC

1. Войдите в систему компьютера CPANDL-DC, воспользовавшись учетной записью CPANDL\Administrator или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, выберите Administrative Tools и DNS.

3. Щелкнув правой кнопкой мыши запись CPANDL-DC, выберите пункт Properties.

4. Перейдите на вкладку Forwarders.

5. В разделе Selected domain's forward IP address list введите 10.0.0.30, затем

16

нажмите кнопку Add.


Создание учетных записей пользователейВ первую очередь необходимо добавить учетные записи пользователей, перечисленные в приведенной ниже таблице, в службу Active Directory. Инструкции по созданию учетных записей пользователей приведены после таблицы.

Имя учетной записи Имя входа пользователя Адрес электронной почты

ADFSADMIN ADFSADMIN

Terrence Philip tphilip [email protected]

Добавление новых учетных записей в домен TREYRESEARCH


2. Нажмите кнопку Start, выберите Administrative Tools, а затем Active Directory Users and Computers. При этом откроется консоль оснастки Active Directory Users and Computers.

3. Раскройте узел treyresearch.net в дереве консоли.

4. Щелкнув правой кнопкой мыши запись Users (пользователи), раскройте подменю New (создать) и выберите команду User (пользователь).

5. При появлении диалогового окна New Object – User введите в полях Full name (полное имя) и User logon name (имя входа пользователя) имя ADFSADMIN, после чего нажмите кнопку Next.

6. Введите произвольный пароль в полях Password и Confirm password диалогового окна New Object – User. Установив флажок User must change password at next logon, последовательно нажмите кнопки Next и Finish.

7. Повторите шаги 3-6 для учетной записи Terrence Philip (tphilip).

Далее в перечисленных выше в таблице учетных записях пользователей необходимо указать адреса электронной почты.

Добавление адресов электронной почты в учетные записи пользователей

1. В консоли Active Directory Users and Computers щелкните правой кнопкой мыши запись Terrence Philip, выберите команду Properties, введите адрес [email protected] в

17

поле E-mail (электронная почта) и нажмите кнопку OK.

2. Закройте консоль оснастки Active Directory Users and Computers.

Настройка компьютера в качестве партнера по учетным записям федерации (ADFS-ACCOUNT)

В этом разделе будет выполнена настройка компьютера для использования в качестве сервера федерации в домене TREYRESEARCH.

В первую очередь установите ОС Windows Server 2008 Enterprise в качестве изолированного сервера на компьютере ADFS-ACCOUNT.

Внимание! Для серверов федерации требуется ОС Windows Server 2008 Enterprise.

Установка ОС Windows Server 2008 Enterprise

1. Запустите компьютер с установочного компакт-диска Windows Server 2008.

2. При появлении запроса об указании типа установки выберите Custom Installation.

3. При появлении запроса об указании имени компьютера введите ADFS-ACCOUNT.

4. Для завершения установки выполните все последующие инструкции, выводимые на экран компьютера.

Далее необходимо настроить свойства протоколов TCP/IP таким образом, чтобы компьютеру ADFS-ACCOUNT был присвоен статический IP-адрес 10.0.0.31.

Настройка свойств протоколов TCP/IP на компьютере ADFS-ACCOUNT

1. Войдите в систему компьютера ADFS-ACCOUNT, воспользовавшись учетной записью ADFS-ACCOUNT\Administrator или другой учетной записью пользователя, включенной в локальную группу Administrators.

2. Нажмите кнопку Start, выберите последовательно Network, Network and Sharing Center, Manage Network Connections, щелкните правой кнопкой мыши Local Area Connection и выберите команду Properties.

3. На вкладке Networking (сеть) выберите запись Internet Protocol Version 4 (TCP/IPv4) и нажмите кнопку Properties.

4. Установите параметр Use the following IP address. В поле IP address введите 10.0.0.31, а в поле Subnet mask — 255.255.255.0.

5. Установите параметр Use the following DNS server addresses (использовать следующие адреса DNS-серверов). В поле Preferred DNS server введите 10.0.0.30.


Далее следует присоединить компьютер ADFS-ACCOUNT к домену TREYRESEARCH.

18

Присоединение компьютера ADFS-ACCOUNT к домену treyresearch.net

1. Нажмите кнопку Start, щелкните правой кнопкой мыши пункт My Computer и выберите команду Properties.

2. В случае появления диалогового окна User Account Control (контроль учетных записей) проверьте правильность указанного в нем действия и нажмите кнопку Continue.

3. Выберите справа команду Change settings (изменить параметры), затем нажмите кнопку Change (изменить).

4. В диалоговом окне Computer Name/Domain Changes установите параметр Domain и введите treyresearch.net.

5. Нажав кнопку More, введите в поле Primary DNS suffix of this computer значение treyresearch.net.


7. При появлении диалогового окна Computer Name/Domain Changes с запросом о вводе учетных данных администратора укажите учетные данные записи TREYRESEARCH\Administrator и нажмите кнопку OK.

8. Когда в диалоговом окне Computer Name/Domain Changes появится сообщение о присоединении компьютера к домену treyresearch.net, нажмите кнопку OK.


10. Нажмите кнопку Restart Now.

Наконец, добавьте учетную запись пользователя ADFSADMIN в локальную группу Administrators (администраторы) на компьютере ADFS-ACCOUNT.

Добавление компьютера ADFSADMIN в группу Administrators на компьютере ADFS-ACCOUNT

1. Войдите в систему компьютера ADFS-ACCOUNT, воспользовавшись учетной записью TREYRESEARCH\Administrator или другой учетной записью, входящей в локальную группу Administrators.

2. Для этого нажмите кнопку Start, выберите Administrative Tools, а затем — Server Manager (диспетчер сервера).

3. Последовательно раскройте узлы Configuration (настройка) и Local Users and Groups (локальные пользователи и группы), после чего щелкните запись Groups (группы).

4. Щелкните двойным щелчком группу Administrators, нажмите кнопку Add, наберите TREYRESEARCH\ADFSADMIN, нажмите кнопку OK, затем еще раз нажмите кнопку OK.

19

Настройка клиентского компьютера с поддержкой службы AD RMS (ADRMS-CLNT2)

Для настройки клиентского компьютера ADRMS-CLNT2 в домене TREYRESEARCH необходимо установить ОС Windows Vista, настроить свойства протокола TCP/IP, затем присоединить компьютер к домену TREYRESEARCH. Также необходимо установить приложение, поддерживающее службу AD RMS. В этом примере предусматривается установка пакета Microsoft Office Word 2007 (корпоративный выпуск) на клиентском компьютере.

Установка ОС Windows Vista

1. Запустите компьютер с компакт-диска Windows Vista.

2. Следуйте инструкциям на экране, а при появлении запроса об указании имени компьютера введите ADRMS-CLNT2.

Теперь настройте свойства протоколов TCP/IP таким образом, чтобы компьютеру ADRMS-CLNT2 был присвоен статический IP-адрес 10.0.0.32. Кроме того, укажите в свойствах DNS-сервера IP-адрес компьютера TREY-DC (10.0.0.30).

Настройка свойств протоколов TCP/IP

1. Войдите в систему компьютера ADRMS-CLNT2, воспользовавшись учетной записью ADRMS-CLNT2\Administrator или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, выберите Network, затем выберите Network and Sharing Center.

3. Выберите Manage Network Connections, щелкните правой кнопкой мыши запись Local Area Connection и выберите Properties.

4. На вкладке Networking выберите запись Internet Protocol Version 4 (TCP/IPv4) и нажмите кнопку Properties.

5. Установите параметр Use the following IP address. В поле IP address введите 10.0.0.32, а в поле Subnet mask — 255.255.255.0.

6. Установите параметр Use the following DNS server addresses. В поле Preferred DNS server введите 10.0.0.30.


Далее следует присоединить компьютер ADRMS-CLNT2 к домену TREYRESEARCH.

Присоединение компьютера ADRMS-CLNT2 к домену TREYRESEARCH

1. Нажмите кнопку Start, щелкните правой кнопкой мыши пункт My Computer и выберите команду Properties.

20

2. В разделе Computer name, domain, and workgroup settings (имя компьютера, имя домена и параметры рабочей группы) нажмите кнопку Change settings (изменить параметры).

3. На вкладке Computer Name нажмите кнопку Change.

4. В диалоговом окне Computer Name/Domain Changes установите параметр Domain и введите treyresearch.net.

5. Нажав кнопку More, введите в поле Primary DNS suffix of this computer значение treyresearch.net.

6. Два раза нажмите кнопку OK.

7. При появлении диалогового окна Computer Name/Domain Changes с запросом о вводе учетных данных администратора укажите учетные данные записи treyresearch\administrator и нажмите кнопку OK.

8. Когда в диалоговом окне Computer Name/Domain Changes появится сообщение о присоединении компьютера к домену treyresearch.net, нажмите кнопку OK.


10. Для перезагрузки компьютера нажмите кнопку Yes (да) в диалоговом окне System Settings Change (изменение параметров системы).

Далее необходимо выполнить настройку компьютера ADRMS-CLNT2 для поддержки федерации со службой AD RMS. Эта запись реестра назначает главную область AD FS для службы AD RMS.

Настройка поддержки федерации на компьютере ADRMS-CLNT2

1. Войдите в систему компьютера ADRMS-CLNT2, воспользовавшись учетной записью TREYRESEARCH\Administrator или другой учетной записью, входящей в локальную группу Administrators (администраторы).

2. Нажмите кнопку Start, введите команду regedit.exe и нажмите клавишу ВВОД.

3. Разверните узлы HKEY_LOCAL_MACHINE, Software, Microsoft.4. Щелкните правой кнопкой мыши запись Microsoft, наведите курсор на команду New

(создать), выберите команду Key (раздел), наберите имя MSDRM, затем нажмите клавишу ВВОД.

5. Щелкните правой кнопкой мыши запись MSDRM, наведите курсор на команду New, выберите команду Key, наберите имя Federation, затем нажмите клавишу ВВОД.

6. Щелкните правой кнопкой мыши запись Federation, наведите курсор на команду New, выберите команду String Value (значение строки), наберите FederationHomeRealm, затем нажмите клавишу ВВОД.

21

7. Дважды щелкните запись FederationHomeRealm, наберите urn:federation:treyresearch.net, затем нажмите кнопку OK.

Наконец, нужно установить пакет Microsoft Office Word 2007 (корпоративный выпуск) на компьютере ADRMS-CLNT2.

Установка пакета Microsoft Office Word 2007 (корпоративный выпуск)

1. Двойным щелчком мыши запустите выполнение файла setup.exe, находящегося на компакт-диске пакета Microsoft Office 2007 (корпоративный выпуск).

2. Выберите тип установки Customize (специальный), сделайте недоступными (Not Available) все компоненты установки, кроме пакета Microsoft Office Word 2007 (корпоративный выпуск), затем нажмите кнопку Install Now (установить). Для завершения процесса установки может потребоваться несколько минут.

Внимание! Создание защищенного содержимого поддерживают только корпоративный выпуск, а также выпуски «Максимум» и «Профессиональный плюс» пакета Microsoft Office 2007. В то же время, обращаться к защищенному содержимому позволяют все выпуски пакета.

Этап 3. Установка и настройка службы AD FSПосле завершения настройки компьютеров, которые будут использоваться в качестве серверов федерации, можно выполнить установку компонентов службы федерации Active Directory (AD FS) на каждом из компьютеров. В этом разделе рассматриваются следующие процедуры:

установка службы федерации на компьютеры ADFS-RESOURCE и ADFS-ACCOUNT;

настройка компьютера ADFS-ACCOUNT для работы со службой AD RMS;

настройка компьютера ADFS-RESOURCE для работы со службой AD RMS.

Установка службы федерации на компьютеры ADFS-RESOURCE и ADFS-ACCOUNT

Используйте следующую процедуру для установки компонента Federation Service (служба федерации) службы AD FS на компьютерах ADFS-RESOURCE и ADFS-ACCOUNT. После установки службы федерации на компьютер он становится сервером федерации.

Добавление службы роли Federation Service (служба федерации)

1. Войдите в систему компьютера ADFS-RESOURCE, воспользовавшись учетной записью

22

CPANDL\ADFSADMIN или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, выберите Administrative Tools и Server Manager.3. В случае появления диалогового окна User Account Control проверьте правильность

указанного в нем действия и нажмите кнопку Continue.

4. Нажмите кнопку Add Roles (добавить роли).

5. На странице Before You Begin (перед началом работы) нажмите кнопку Next.6. На странице Select Server Roles (выбор ролей сервера) установите флажок Active

Directory Federation Services (службы федерации Active Directory).

7. Нажмите кнопку Next.8. На странице Introduction to AD FS (знакомство с AD FS) нажмите кнопку Next.9. На странице Select Role Services (выбор служб ролей) установите флажок Federation

Service (служба федерации). В случае появления запроса об установке дополнительных служб ролей щелкните Add Required Role Services (добавить требуемые службы ролей) и нажмите кнопку Next.

10. Выберите параметр Choose an existing certificate for SSL encryption (выбрать для SSL-шифрования существующий сертификат), выберите соответствующий сертификат, затем нажмите кнопку Next.

Примечание В случае использования самозаверяющих сертификатов в тестовой среде выберите параметр Create a self-signed certificate for SSL encryption (создать самозаверяющий сертификат для SSL-шифрования), затем нажмите кнопку Next.

11. На странице Choose a Token-Signing Certificate (выбор сертификата для подписи маркера) выберите параметр Choose an existing token-signing certificate (выбрать существующий сертификат для подписи маркера), выберите соответствующий сертификат, затем нажмите кнопку Next.

Примечание В случае использования самозаверяющих сертификатов в тестовой среде выберите параметр Create a self-signed token-signing certificate (создать самозаверяющий сертификат для подписи маркера), затем нажмите кнопку Next.

12. Установив параметр Create a new trust policy (создать новую политику доверия), нажмите кнопку Next.

13. Ознакомившись со страницей Introduction to Web Server (IIS) (знакомство с веб-сервером (IIS)), нажмите кнопку Next.

14. Не изменяя стандартное состояние флажков веб-сервера, нажмите кнопку Next.15. Нажмите кнопку Install (установить).

23

16. После завершения установки нажмите кнопку Close (закрыть).

17. Войдите в систему компьютера ADFS-ACCOUNT, воспользовавшись учетной записью TREYRESEARCH\ADFSADMIN.

18. Повторите шаги с 2 по 13 для компьютера ADFS-ACCOUNT, воспользовавшись учетной записью пользователя TREYRESEARCH\ADFSADMIN.

Настройка компьютера ADFS-ACCOUNT для работы со службой AD RMS

Компьютер ADFS-ACCOUNT является членом домена TREYRESEARCH и пересылает запросы AD RMS в домен CPANDL. В этом разделе будет выполнена настройка политики доверия AD FS, создана настраиваемая заявка для атрибута ProxyAddresses службы Active Directory, добавлено хранилище учетных записей Active Directory, а также добавлен и настроен партнер по ресурсам.

Сначала необходимо выполнить настройку политики доверия компьютера ADFS-ACCOUNT для службы федерации в домене TREYRESEARCH.

Настройка политики доверия партнера по учетным записям AD FS (ADFS-ACCOUNT)

1. Войдите в систему компьютера ADFS-ACCOUNT, воспользовавшись учетной записью TREYRESEARCH\adfsadmin или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, а затем последовательно выберите пункты Administrative Tools и Active Directory Federation Services.

3. В случае появления диалогового окна User Account Control проверьте правильность указанного в нем действия и нажмите кнопку Continue.

4. Разверните узел Federation Services (службы федерации), щелкните правой кнопкой мыши запись Trust Policy (политика доверия), затем выберите команду Properties.

5. В поле Federation Service URI (универсальный код ресурса службы федерации) наберите urn:federation:treyresearch.net.

Примечание Значение универсального кода ресурса службы федерации вводится с учетом регистра.

6. Проверьте, чтобы в поле Federation Service endpoint URL (URL-адрес конечной точки службы федерации) был указан адрес https://ADFS-ACCOUNT.treyresearch.net/adfs/ls/.

7. На вкладке Display Name (отображаемое название) в поле Display name for this trust policy (отображаемое имя для этой политики доверия) введите имя Trey

24

Research, затем нажмите кнопку OK.

Далее создайте настраиваемую заявку, которая будет использоваться со службой AD RMS.

Создание настраиваемой заявки

1. В консоли Active Directory Federation Services разверните узел Federation Service (служба федерации), затем Trust Policy (политика доверия) и My Organization (моя организация).

2. Щелкнув правой кнопкой мыши запись Organization Claims (заявки организации), раскройте подменю New (создать) и выберите команду Organization Claim (заявка организации).

3. В поле Claim name (имя заявки) введите имя ProxyAddresses.

Примечание Значение имени заявки вводится с учетом регистра.

4. Установите параметр Custom claim (настраиваемая заявка) и нажмите кнопку OK.

Внимание! При разрешении прокси-адресов через доверие федерации следует соблюдать большую осторожность. В случае разрешения прокси-адресов через федерацию пользователь-злоумышленник может подделать учетные данные авторизованного пользователя и получить доступ к защищенному содержимому пользователя. Если организации требуется использование прокси-адресов через федерацию, необходимо реализовать модуль трансформации заявок, проверяющий прокси-адрес от пользователя федерации и контролирующий его соответствие лесу, в котором запрос был создан. Параметр, разрешающий прокси-адреса от пользователей федерации, в консоли Active Directory Rights Management Services по умолчанию отключен.

Далее необходимо добавить хранилище учетных записей Active Directory в службу федерации для домена TREYRESEARCH.

Добавление хранилища учетных записей Active Directory на компьютере ADFS-ACCOUNT

1. В консоли Active Directory Federation Services разверните узел Federation Service, затем Trust Policy и My Organization.

2. Щелкните правой кнопкой мыши пункт Account Stores (хранилища учетных записей), выберите команду New (создать), затем Account Store (хранилище учетных записей).

3. На открывшейся странице Welcome to the Add Account Store Wizard (мастер добавления хранилища учетных записей) нажмите кнопку Next.

25

4. На странице Account Store Type (тип хранилища учетных записей) выберите параметр Active Directory Domain Services (доменные службы Active Directory), затем нажмите кнопку Next.

5. На странице Enable this Account Store установите флажок Enable this account store (включить это хранилище учетных записей) и нажмите кнопку Next.

6. На странице Completing the Add Account Store Wizard (завершение мастера добавления хранилища учетных записей) нажмите кнопку Finish.

7. Дважды щелкните заявку организации E-mail (электронная почта), установите флажок Enabled (включить), введите mail в поле LDAP attribute (атрибут LDAP), затем нажмите кнопку OK.

8. Щелкните правой кнопкой мыши хранилище учетных записей Active Directory, выберите команду New, затем Custom claim extraction (извлечение настраиваемой заявки).

9. В поле Attribute введите ProxyAddresses, затем нажмите кнопку OK.

Наконец, необходимо добавить партнера по ресурсам в службу федерации в домене TREYRESEARCH.

Добавление партнера по ресурсам в домен TREYRESEARCH

1. В консоли Active Directory Federation Services разверните узел Federation Service, затем Trust Policy и Partner Organizations (партнерские организации).

2. Щелкнув правой кнопкой мыши запись Resource Partners (партнеры по ресурсам), раскройте подменю New и выберите команду Resource Partner (партнер по ресурсам).

3. На открывшейся странице Welcome to the Add Resource Partner Wizard (мастер добавления партнера по ресурсам) нажмите кнопку Next.

4. Выберите на странице Import Policy File (импортировать файл политики) вариант No (нет), затем нажмите кнопку Next.

5. На странице Resource Partner Details (сведения о партнере по ресурсам) в поле Display name (отображаемое название) введите название CP&L Enterprises.

6. В поле Federation Service URI введите urn:federation:cpandl.com.

Примечание Значение URL-адреса службы федерации вводится с учетом регистра.

7. В поле Federation Service endpoint URL введите адрес https://adfs-resource.cpandl.com/adfs/ls/ и нажмите кнопку Next.

8. На странице Federation Scenario (сценарий федерации) выберите вариант Federated Web SSO (единый вход федерации для Интернет-решений), затем нажмите кнопку Next.

9. Установите флажки UPN Claim (заявка UPN) и E-mail Claim (заявка электронной почты),

26

затем нажмите кнопку Next.10. Выберите вариант Pass all UPN suffixes through unchanged (пропустить все UPN-

суффиксы без изменений), затем нажмите кнопку Next.11. Выберите вариант Pass all E-mail suffixes through unchanged (пропустить все суффиксы

электронной почты без изменений), затем нажмите кнопку Next.12. Проверьте, чтобы был установлен флажок Enable this resource partner (включить этого

партнера по ресурсам), а затем нажмите кнопку Next.13. Нажмите кнопку Finish.

14. Щелкните правой кнопкой мыши нового партнера по ресурсам CP&L Enterprises, выберите команду New, затем Outgoing Custom Claim Mapping (сопоставление исходящей настраиваемой заявки).

15. В поле Outgoing custom claim name (имя исходящей настраиваемой заявки) введите ProxyAddresses, затем нажмите кнопку OK.

16. Закройте консоль оснастки Active Directory Federation Services.

Настройка компьютера ADFS-RESOURCE для работы со службой AD RMS

Компьютер ADFS-RESOURCE является членом домена CPANDL и получает запросы AD RMS из домена TREYRESEARCH. В этом разделе будет выполнена настройка политики доверия AD FS, создана настраиваемая заявка для атрибута ProxyAddresses службы Active Directory, добавлено хранилище учетных записей Active Directory, добавлена служба AD RMS в качестве приложения по заявкам, а также настроен партнер по ресурсам.

Сначала необходимо выполнить настройку политики доверия компьютера ADFS-RESOURCE для службы федерации в домене CPANDL.

Настройка политики доверия партнера по ресурсам AD FS (ADFS-RESOURCE)

1. Войдите в систему компьютера ADFS-RESOURCE, воспользовавшись учетной записью CPANDL\ADFSADMIN или другой учетной записью, входящей в локальную группу Administrators.

2. Нажмите кнопку Start, а затем последовательно выберите пункты Administrative Tools и Active Directory Federation Services.


4. Разверните узел Federation Services, щелкните правой кнопкой мыши запись Trust Policy, затем выберите команду Properties.

5. В поле Federation Service URI введите urn:federation:cpandl.com.

Примечание Значение универсального кода ресурса службы федерации вводится с

27

учетом регистра.

6. Проверьте, чтобы в поле Federation Service endpoint URL (URL-адрес конечной точки службы федерации) был указан адрес https://ADFS-RESOURCE.cpandl.com/adfs/ls/.

7. На вкладке Display Name (отображаемое название) в поле Display name for this trust policy (отображаемое имя для этой политики доверия) введите имя CP&L Enterprises, затем нажмите кнопку OK.

Далее создайте настраиваемую заявку, которая будет использоваться со службой AD RMS.

Создание настраиваемой заявки


2. Щелкнув правой кнопкой мыши запись Organization Claims, раскройте подменю New и выберите команду Organization Claim.

3. В поле Claim name (имя заявки) введите имя ProxyAddresses.

Примечание Значение имени заявки вводится с учетом регистра.

4. Установите параметр Custom claim (настраиваемая заявка) и нажмите кнопку OK.

Далее необходимо добавить хранилище учетных записей Active Directory в службу федерации для домена CPANDL.

Добавление хранилища учетных записей Active Directory на компьютере ADFS-RESOURCE


2. Щелкните правой кнопкой мыши пункт Account Stores, выберите команду New, затем Account Store.

3. На открывшейся странице Welcome to the Add Account Store Wizard нажмите кнопку Next.

4. На странице Account Store Type выберите вариант Active Directory Domain Services, затем нажмите кнопку Next.

5. На странице Enable this Account Store установите флажок Enable this account store и нажмите кнопку Next.

6. На странице Completing the Add Account Store Wizard нажмите кнопку Finish.

7. Щелкните двойным щелчком заявку организации E-mail, установите флажок Enabled, наберите mail в поле LDAP attribute, затем нажмите кнопку OK.

28

8. Щелкните правой кнопкой мыши хранилище учетных записей Active Directory, выберите команду New, затем Custom claim extraction (извлечение настраиваемой заявки).

9. В поле Attribute введите ProxyAddresses, затем нажмите кнопку OK.


Далее необходимо добавить конвейер сертификации AD RMS в качестве приложения по заявкам.

Добавление конвейера сертификации AD RMS в качестве приложения по заявкам


2. Щелкните правой кнопкой мыши пункт Applications, выберите команду New, затем Application.

3. На странице Welcome to the Add Application Wizard нажмите кнопку Next.4. На странице Application Type (тип приложения) выберите вариант Claims-aware

application (приложение по заявке) и нажмите кнопку Next.5. В поле Application display name (отображаемое название приложения) введите

строку AD RMS Certification (сертификация AD RMS).

6. В поле Application URL (URL-адрес приложения) введите адрес https://adrms-srv.cpandl.com/_wmcs/certificationexternal/, затем нажмите кнопку Next.

Примечание URL-адрес приложения вводится с учетом регистра, а имя кластера экстрасети AD RMS должно точно совпадать с URL-адресом возврата компьютера ADRMS-SRV. В случае несоответствия значений функция службы AD FS не будет работать.

7. На странице Accepted Identity Claims (принятые идентификационные заявки) установите флажок User principal name (UPN) (имя участника-пользователя) и E-mail (электронная почта), затем нажмите кнопку Next.

8. На странице Enable this Application (включить это приложение) установите флажок Enable this application, затем нажмите кнопку Next.

9. На странице Completing the Add Application Wizard (завершение мастера добавления приложения) нажмите кнопку Finish.

10. На панели задач щелкните двойным щелчком запись ProxyAddresses, установите флажок Enabled (включить), затем нажмите кнопку OK.

Используйте следующую процедуру для добавления конвейера лицензирования AD RMS в качестве приложения по заявкам.

29

Добавление конвейера лицензирования AD RMS в качестве приложения по заявкам


2. Щелкните правой кнопкой мыши пункт Applications, выберите команду New, затем Application.

3. На странице Welcome to the Add Application Wizard нажмите кнопку Next.4. На странице Application Type выберите вариант Claims-aware application и

нажмите кнопку Next.5. В поле Application display name введите строку AD RMS Licensing

(лицензирование AD RMS).

6. В поле Application URL (URL-адрес приложения) введите адрес https://adrms-srv.cpandl.com/_wmcs/licensingexternal/, затем нажмите кнопку Next.

Примечание URL-адрес приложения вводится с учетом регистра, а имя компьютера в URL-адресе должно точно совпадать с URL-адресом возврата компьютера ADRMS-SRV. В случае несоответствия значений функция службы AD FS не будет работать.

7. На странице Accepted Identity Claims установите флажок User principal name (UPN) и E-mail, затем нажмите кнопку Next.

8. На странице Enable this Application установите флажок Enable this application, затем нажмите кнопку Next.

9. На странице Completing the Add Application Wizard (завершение мастера добавления приложения) нажмите кнопку Finish.

10. На панели задач щелкните двойным щелчком запись ProxyAddresses, установите флажок Enabled, затем нажмите кнопку OK.

Далее необходимо добавить партнера по учетным записям на компьютере ADFS-RESOURCE. Этот партнер по ресурсам получает запросы от компьютера ADFS-ACCOUNT в домене TREYRESEARCH.

Добавление партнера по учетным записям на компьютере ADFS-RESOURCE.

1. В консоли Active Directory Federation Services разверните узел Federation Service, затем Trust Policy и Partner Organizations.

2. Щелкните правой кнопкой мыши пункт Account Partners (партнеры по учетным записям), выберите команду New, затем Account Partner.

3. На открывшейся странице Welcome to the Add Account Partner Wizard (мастер добавления партнера по учетным записям) нажмите кнопку Next.

30

4. Выберите на странице Import Policy File вариант No (нет), затем нажмите кнопку Next.5. На странице Resource Partner Details введите в поле Display name название Trey

Research.

6. В поле Federation Service URI введите urn:federation:treyresearch.net.7. В поле Federation Service endpoint URL введите адрес https://adfs-

account.treyresearch.net/adfs/ls/ и нажмите кнопку Next.8. На странице Account Partner Verification (проверка партнера по учетным записям)

введите путь к расположению, где хранится сертификат для подписи маркера, затем нажмите кнопку Next.

9. Установите параметр Federated Web SSO, затем нажмите кнопку Next.10. Установите флажки UPN Claim и E-mail Claim, затем нажмите кнопку Next.11. На странице Accepted UPN Suffixes (принятые UPN-суффиксы) введите суффикс

treyresearch.net, нажмите кнопку Add, затем нажмите кнопку Next.12. На странице Accepted E-mail Suffixes (принятые суффиксы электронной почты) введите

суффикс treyresearch.net, нажмите кнопку Add, затем нажмите кнопку Next.13. Проверьте, чтобы был установлен флажок Enable this account partner (включить этого

партнера по учетным записям), а затем нажмите кнопку Next.14. Нажмите кнопку Finish.

15. Щелкните правой кнопкой мыши партнера по учетным записям Trey Research, выберите команду New, затем Incoming Custom Claim Mapping (сопоставление входящей настраиваемой заявки).

16. В поле Incoming custom claim name (имя входящей настраиваемой заявки) введите ProxyAddresses, затем нажмите кнопку OK.


Этап 4. Настройка компьютера ADRMS-SRV для работы со службой AD FSВ ОС Windows Server 2008 предусматривается возможность установки при помощи диспетчера сервера поддержки федерации удостоверений службы AD RMS в качестве службы роли. В этом шаге руководства рассматриваются следующие задачи:

предоставление привилегий аудита безопасности учетной записи службы AD RMS;

добавление URL-адресов кластера экстрасети AD RMS ;

добавление службы роли, поддерживающей федерацию удостоверений AD RMS ;

31

включение поддержки федерации удостоверений в консоли Active Directory Rights Management Services (служба управления правами Active Directory).

Предоставление привилегий аудита безопасности учетной записи службы AD RMS

Учетная запись службы AD RMS должна иметь возможность генерировать события аудита безопасности при использовании службы AD FS.

Предоставление привилегий аудита безопасности учетной записи службы AD RMS

1. Нажмите кнопку Start, выберите Administrative Tools и Local Security Policy (локальная политика безопасности).


3. Разверните узел Local Policies (локальные политики), затем выберите запись User Rights Assignment (назначение прав пользователя).

4. Дважды щелкните запись Generate security audits (создание аудитов безопасности).

5. Нажмите кнопку Add User or Group (добавить группу пользователей).

6. Введите строку cpandl\adrmssrvc, затем нажмите кнопку OK.

7. Нажмите кнопку OK, чтобы закрыть лист свойств Generate security audits.

Добавление URL-адресов кластера экстрасети AD RMS

Клиенты с поддержкой AD RMS, обращающиеся к защищенному содержимому через доверие федерации, используют для создания сертификата учетной записи службы управления правами URL-адреса кластера экстрасети AD RMS.

Внимание! URL-адреса кластера AD RMS необходимо добавить до того, как добавлять службу роли, поддерживающую федерацию удостоверений, с помощью диспетчера сервера. Если URL-адреса кластера не добавлены, необходимо внести изменения в файлы web.config в каталогах certificationexternal и licensingexternal вручную.

Добавление URL-адресов кластера экстрасети AD RMS

1. Войдите в систему компьютера ADRMS-SRV с учетной записью CPANDL\ADRMSADMIN.

2. Откройте консоль Active Directory Rights Management Services (служба управления правами Active Directory). Нажмите кнопку Start, а затем последовательно выберите пункты Administrative Tools и Active Directory Rights Management Services.


4. Щелкнув запись adrms-srv.cpandl.com правой кнопкой мыши, выберите пункт Properties.

32

5. Открыв вкладку Cluster URLs, установите флажок Extranet URLs.

6. Выберите пункт https:// в области Licensing (лицензирование) и введите адрес adrms-srv.cpandl.com.

7. Выберите пункт https:// в области Certification (сертификация) и введите адрес adrms-srv.cpandl.com.


Добавление службы роли, поддерживающей федерацию удостоверений AD RMS

Далее необходимо добавить службу роли, поддерживающую федерацию удостоверений, с помощью диспетчера сервера.

Добавление службы роли, поддерживающей федерацию удостоверений

1. Войдите в систему компьютера ADRMS-SRV, воспользовавшись учетной записью CPANDL\ADRMSADMIN.

2. Нажмите кнопку Start, выберите Administrative Tools и Server Manager.3. В случае появления диалогового окна User Account Control проверьте правильность

указанного в нем действия и нажмите кнопку Continue.

4. В поле Roles Summary (сводка ролей) щелкните Active Directory Rights Management Services, затем нажмите кнопку Add Role Services (добавить службы ролей).

5. Установите флажок Identity Federation Support (поддержка федерации удостоверений). Проверьте, чтобы служба Claims-aware Agent role service (служба роли агента по заявкам) была указана в качестве требуемой службы роли, затем нажмите кнопку Add Required Role Services (добавить требуемые службы пролей).

6. Нажмите кнопку Next.7. На странице Configure Identity Federation Support (настройка поддержки федерации

удостоверений) введите сроку adfs-resource.cpandl.com, щелкните Validate (проверить), затем нажмите кнопку Next.

8. На странице Introduction to AD FS (знакомство с AD FS) нажмите кнопку Next.9. На странице AD FS Role Service (служба роли AD FS) проверьте, чтобы флажок Claims-

aware Agent (агент по заявкам) был установлен, затем нажмите кнопку Next.10. Нажмите кнопку Install (установить), чтобы добавить службу роли, поддерживающую

федерацию удостоверений, на компьютере ADRMS-SRV.

11. Нажмите кнопку Finish.

33

Включение поддержки федерации удостоверений в консоли Active Directory Rights Management Services (служба управления правами Active Directory)

После включения поддержка федерации удостоверений позволяет учетным записям пользователей использовать учетные данные, созданные отношением доверия федерации через службу федерации Active Directory (AD FS), в качестве основы для получения сертификата учетной записи службы управления правами из кластера AD RMS.

Включение поддержки федерации удостоверений AD RMS в консоли Active Directory Rights Management Services (служба управления правами Active Directory)

1. Войдите в систему компьютера ADRMS-SRV, воспользовавшись учетной записью CPANDL\ADRMSADMIN.

2. Откройте консоль Active Directory Rights Management Services и разверните кластер AD RMS.


4. В дереве консоли разверните узел Trust Policies (политики доверия), а затем щелкните запись Federated Identity Support (поддержка федеративных удостоверений).

5. На панели Actions (действия) щелкните Enable Federated Identity Support (включить поддержку федеративных удостоверений).

6. На панели Actions выберите команду Properties.

7. На вкладке Active Directory Federation Service Policies (политики службы федерации Active Directory) в поле Federated Identity Certificate validity period (срок действия сертификатов федеративных удостоверений) введите значение 7. Это количество дней, в течение которых сертификаты федеративных учетных записей службы управления правами будут действительны.


Этап 5. Проверка работоспособности службы AD RMSКлиент службы AD RMS по умолчанию устанавливается вместе с ОС Windows Vista и Windows Server 2008. Существуют также версии клиентской программы, предназначенные для более ранних версий ОС Windows, которые можно загрузить отдельно. Дополнительную информацию см. на странице «Служба управления правами Windows Server 2003» на веб-узле Microsoft Windows Server TechCenter (http://go.microsoft.com/fwlink/?LinkId=68637) (на английском языке).

34


Прежде чем публиковать или обращаться к защищенному содержимому на ОС Windows Vista необходимо добавить URL-адрес кластера AD RMS, URL-адрес компьютера ADFS-RESOURCE и URL-адрес компьютера ADFS-ACCOUNT в зону безопасности Local Intranet (местная интрасеть) обозревателя Internet Explorer на компьютере ADRMS-CLNT2. Это необходимо для того, чтобы обеспечить автоматическую передачу учетных данных из приложения Microsoft Office Word в веб-службы AD RMS.

Добавление URL-адреса кластера AD RMS в зону безопасности местной интрасети

1. Войдите в систему компьютера ADRMS-CLNT2, воспользовавшись учетной записью Terence Philip (TREYRESEARCH\tphilip).

2. Нажмите кнопку Start, затем последовательно выберите Control Panel, Network and Internet и Network and Sharing Center.

3. Откройте вкладку Security и выберите зону Local Intranet.4. Нажмите кнопку Sites (узлы), затем нажмите кнопку Advanced (дополнительно).

5. В поле Add this website to the zone (добавить в зону следующий узел) выполните следующие действия:

a) введите адрес https://adrms-srv.cpandl.com, затем нажмите кнопку Add (добавить);

б) введите адрес https://adfs-resource.cpandl.com, затем нажмите кнопку Add;

в) введите адрес https://adfs-account.treyresearch.net, затем нажмите кнопку Add;

Для проверки работоспособности службы AD RMS необходимо войти в систему под именем Nicole Holliday, создать документ Microsoft Word 2007, затем ограничить разрешения этого документа таким образом, чтобы пользователь Terrence Philip мог читать его, но не имел возможности вносить изменения, печатать и копировать. Затем войдите в систему под именем Terence Philip, убедитесь в том, что пользователь Terence Philip может читать документ, но не может выполнять другие операции с этим документом.

Ограничение разрешений на доступ к документу Microsoft Word

1. Войдите в систему компьютера ADRMS-CLNT, воспользовавшись учетной записью Nicole Holliday (CPANDL\nhollida).

2. Нажмите кнопку Start, выберите All Programs, Microsoft Office и Microsoft Office Word 2007.

3. Введите следующий текст: «Этот документ Terence Philip может только читать. но не может изменять, печатать и копировать его». Нажмите кнопку Microsoft Office, выберите Prepare (подготовка), Restrict Permission (ограничить разрешение) и Restricted Access (ограниченный доступ).

4. Установите флажок Restrict permission to this document (ограничить разрешения

35

на работу с этим документом).

5. В поле Read (чтение) введите адрес [email protected], а затем закройте диалоговое окно Permission (разрешение) нажатием кнопки OK.

6. Нажмите кнопку Microsoft Office, выберите команду Save As (сохранить как) и сохраните файл под именем \\adrms-db\public\ADRMS-TST.docx.

7. Выполните выход пользователя Nicole Holliday из системы.

Наконец, войдите под именем Terence Philip в систему компьютера ADRMS-CLNT2 в домене TREYRESEARCH.NET и попробуйте открыть документ ADRMS-TST.docx.

Просмотр защищенного документа

1. Войдите в систему компьютера ADRMS-CLNT2 с учетной записью Terence Philip (TREYRESEARCH\tphilip).

2. Нажмите кнопку Start, выберите All Programs, Microsoft Office и Microsoft Office Word 2007.

3. Нажмите кнопку Microsoft Office Button, выберите команду Open (открыть), затем наберите \\ADRMS-DB\PUBLIC \ADRMS-TST.docx. В случае появления запроса о предоставлении учетных данных используйте учетную запись CPANDL\Administrator.

На экране появится следующее сообщение: "Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com/_wmcs/licensing to verify your credentials and download your permission." (Разрешение на работу с данным документом ограничено. Системе Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com:443/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях).


На экране появится следующее сообщение: "Verifying your credentials for opening content with restricted permissions" (Проверка учетных данных для открытия содержимого с ограниченными разрешениями).

5. После открытия документа нажмите кнопку Microsoft Office. Обратите внимание на то, что команда Print (печать) недоступна.

6. Щелкните запись View Permission (просмотреть разрешения) в панели сообщений. Там должна отображаться информация о том, что права пользователя Terence Philip ограничены только чтением этого документа.

7. Чтобы закрыть диалоговое окно My Permissions (мои разрешения), нажмите кнопку OK. Затем закройте программу Microsoft Word.

В результате выполнения этого руководства было успешно произведено развертывание и продемонстрирована работоспособность федерации удостоверений со службой AD RMS с

36

помощью простого примера ограничения разрешений документа Microsoft Word 2007. Впоследствии в рамках подготовленной инфраструктуры путем дополнительной настройки и тестирования можно будет изучить другие возможности службы AD RMS.

37

Documents

download.microsoft.comdownload.microsoft.com/documents/rus/windowsserver2008/... · Web view6. Нажмите кнопку Microsoft Office, выберите команду Save As