Esempio di configurazione di Kerberos con ADFS 2.0 per l'utente finale SAML SSO per Jabber

Opzioni per il download

  • PDF     (1.6 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.6 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (954.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:24 marzo 2015
ID documento:118841

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Kerberos con Active Directory Federation Services (ADFS) 2.0.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

La configurazione di Single Sign-On (SSO) SAML (End User Security Assertion Markup Language) richiede la configurazione di Kerberos per consentire a Jabber di utilizzare l'SSO SAML utente finale per l'autenticazione del dominio. Quando SAML SSO viene implementato con Kerberos, il protocollo LDAP (Lightweight Directory Access Protocol) gestisce tutte le autorizzazioni e la sincronizzazione degli utenti, mentre Kerberos gestisce l'autenticazione. Kerberos è un protocollo di autenticazione da utilizzare in combinazione con un'istanza abilitata per LDAP.

Sui computer Microsoft Windows e Macintosh che fanno parte di un dominio di Active Directory, gli utenti possono accedere senza problemi a Cisco Jabber senza dover immettere un nome utente o una password e non visualizzano neanche una schermata di accesso. Gli utenti che non hanno effettuato l'accesso al dominio sui propri computer continuano a visualizzare un modulo di accesso standard.

Poiché l'autenticazione utilizza un singolo token passato dai sistemi operativi, non è necessario alcun reindirizzamento. Il token viene verificato rispetto al controller di dominio chiave (KDC) configurato e, se è valido, l'utente ha eseguito l'accesso. 

Configurazione

Di seguito viene riportata la procedura per configurare Kerberos con ADFS 2.0.

  1. Installare Microsoft Windows Server 2008 R2 in un computer.

  2. Installare Servizi di dominio Active Directory (ADDS) e ADFS nello stesso computer.

  3. Installare Internet Information Services (IIS) nel computer in cui è installato Microsoft Windows Server 2008 R2.

  4. Creare un certificato autofirmato per IIS.

  5. Importare il certificato autofirmato in IIS e utilizzarlo come certificato del server HTTPS.

  6. Installare Microsoft Windows7 in un altro computer e utilizzarlo come client.

    • Modificare il DNS (Domain Name Server) nel computer in cui è stato installato ADDS.

    • Aggiungere il computer al dominio creato durante l'installazione di ADDS.

      1. Vai a Start.
      2. Fare clic con il pulsante destro del mouse su Computer.
      3. Fare clic su Proprietà.
      4. Fare clic su Cambia impostazioni sul lato destro della finestra.
      5. Fare clic sulla scheda Nome computer.
      6. Fare clic su Cambia.
      7. Aggiungere il dominio creato.



  7. Verificare se il servizio Kerberos viene generato in entrambi i computer.

    1. Accedere come amministratore sul computer server e aprire il prompt dei comandi. Eseguire quindi i seguenti comandi:

      • cd \windows\System32
      • Biglietti Klist



    2. Accedere come utente di dominio sul computer client ed eseguire gli stessi comandi.



  8. Creare l'identità Kerberos ADFS nel computer in cui è installato ADDS.

    L'amministratore di Microsoft Windows ha eseguito l'accesso al dominio di Microsoft Windows (come <nomedominio>\amministratore), ad esempio nel controller di dominio di Microsoft Windows, e crea l'identità Kerberos ADFS. Il servizio HTTP ADFS deve disporre di un'identità Kerberos denominata nome dell'entità servizio (SPN) nel formato seguente: HTTP/nome_DNS_del_server_ADFS.

    Questo nome deve essere mappato all'utente di Active Directory che rappresenta l'istanza del server HTTP ADFS. Utilizzare l'utilità setspn di Microsoft Windows, che dovrebbe essere disponibile per impostazione predefinita in un server Microsoft Windows 2008.

    Procedura
    • Registrare gli SPN per il server ADFS. Eseguire il comando setspn nel controller di dominio Active Directory.

      Ad esempio, quando l'host ADFS è adfs01.us.renovations.com e il dominio di Active Directory è US.RENOVATIONS.COM, il comando è:

         setspn -a HTTP/adfs01.us.renovations.com 
         
          
          
         setspn -a HTTP/adfs01


      Viene applicata la parte HTTP/SPN, anche se al server ADFS si accede in genere tramite SSL (Secure Sockets Layer), ovvero HTTPS.

    • Verificare che gli SPN per il server ADFS siano stati creati correttamente con il comando setspn e visualizzare l'output.

         setspn -L




  9. Configurare le impostazioni del browser del client di Microsoft Windows.

    1. Per abilitare l'autenticazione integrata di Windows, selezionare Strumenti > Opzioni Internet > Avanzate.

    2. Selezionare la casella di controllo Abilita autenticazione integrata di Windows:



    3. Selezionare Strumenti > Opzioni Internet > Protezione > Intranet locale > Livello personalizzato per selezionare Accesso automatico solo nell'area Intranet.



    4. Selezionare Strumenti > Opzioni Internet > Sicurezza > Intranet locale > Siti > Avanzate per aggiungere l'URL di Rilevamento e prevenzione intrusioni (IDP) ai siti Intranet locali.

      Nota: Selezionare tutte le caselle di controllo nella finestra di dialogo Intranet locale e fare clic sulla scheda Avanzate.





    5. Per aggiungere i nomi host CUCM ai siti attendibili, selezionare Strumenti > Protezione > Siti attendibili > Siti:

Verifica

Questa sezione spiega come verificare quale autenticazione (Kerberos o NTLM) viene utilizzata.

  1. Scaricare lo strumento Finder sul computer client e installarlo.

  2. Chiudere tutte le finestre di Internet Explorer.

  3. Eseguire lo strumento Trova e verificare che l'opzione Cattura traffico sia attivata nel menu File.

    Fiddler funge da proxy pass-through tra il computer client e il server ed è in ascolto di tutto il traffico, che imposta temporaneamente le impostazioni di Internet Explorer nel modo seguente:



  4. Aprire Internet Explorer, individuare l'URL del server CRM e fare clic su alcuni collegamenti per generare traffico.

  5. Fate riferimento alla finestra principale del Finder e scegliete uno dei fotogrammi in cui il risultato è 200 (esito positivo):



    Se il tipo di autenticazione è NTLM, all'inizio del frame viene visualizzato Negotiate - NTLMSSP, come mostrato di seguito:

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

TAC Authored

Contributo dei tecnici Cisco

  • Raees Shaikh
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti