Kerberos with ADFS 2.0 for End User SAML SSO for Jabber配置示例

簡介

本文說明如何使用Active Directory聯合身份驗證服務(ADFS)2.0配置Kerberos。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

終端使用者安全斷言標籤語言(SAML)單一登入(SSO)配置要求配置Kerberos，以允許用於Jabber的終端使用者SAML SSO使用域身份驗證。當使用Kerberos實現SAML SSO時，輕量目錄訪問協定(LDAP)處理所有授權和使用者同步，而Kerberos管理身份驗證。Kerberos是一種身份驗證協定，旨在與啟用LDAP的例項結合使用。

在加入Active Directory域的Microsoft Windows和Macintosh電腦上，使用者無需輸入使用者名稱或密碼即可無縫登入到Cisco Jabber，甚至看不到登入螢幕。未登入其電腦上的域的使用者仍會看到標準登入表單。

由於身份驗證使用從作業系統傳遞的單個令牌，因此不需要重定向。權杖會根據已設定的金鑰網域控制器(KDC)進行驗證，如果權杖有效，使用者就會登入。 

組態

以下是使用ADFS 2.0設定Kerberos的程式。

1. 在電腦上安裝Microsoft Windows Server 2008 R2。
   
   
2. 在同一台電腦上安裝Active Directory域服務(ADDS)和ADFS。
   
   
3. 在安裝了Microsoft Windows Server 2008 R2的電腦上安裝Internet Information Services(IIS)。
   
   
4. 為IIS建立自簽名證書。
   
   
5. 將自簽名證書匯入IIS並將其用作HTTPS伺服器證書。
   
   
6. 在其他電腦上安裝Microsoft Windows7，並將其用作客戶端。
   
   
   • 將域名伺服器(DNS)更改為安裝了ADDS的電腦。
     
     
   • 將此電腦新增到在安裝ADDS時建立的域。
     
     
     1. 轉至開始。
     2. 按一下右鍵Computer。
     3. 按一下「Properties」。
     4. 按一下視窗右側的Change Settings。
     5. 按一下Computer Name頁籤。
     6. 按一下「Change」。
     7. 新增您建立的域。
        
        

        

   
   
   
7. 檢查Kerberos服務是否在這兩個電腦上生成。
   
   
   1. 以管理員身份登入到伺服器電腦並開啟命令提示符。然後執行以下命令：
      
      
      • cd \windows\System32
      • Klist票證
        
        

        

      
      
      
   2. 以域使用者身份登入到客戶端電腦並執行相同的命令。
      
      

      

   
   
   
8. 在安裝ADDS的電腦上建立ADFS Kerberos標識。
   
   Microsoft Windows管理員登入到Microsoft Windows域（例如，以<domainname>\administrator身份）在Microsoft Windows域控制器上建立ADFS Kerberos標識。ADFS HTTP服務必須具有稱為服務主體名稱(SPN)的Kerberos標識，格式如下：HTTP/DNS_name_of_ADFS_server。
   
   此名稱必須對映到表示ADFS HTTP伺服器例項的Active Directory使用者。使用Microsoft Windows setspn實用程式，該實用程式預設情況下應在Microsoft Windows 2008 Server上可用。
   
   程式
   • 註冊ADFS伺服器的SPN。在Active Directory域控制器上，運行setspn命令。
     
     例如，當ADFS主機為adfs01.us.renovations.com，而Active Directory域為US.RENOVATIONS.COM時，命令為：
     
     

        setspn -a HTTP/adfs01.us.renovations.com 
              
               
               
        setspn -a HTTP/adfs01 
                
              

     
     
     SPN的HTTP/部分適用，即使ADFS伺服器通常由安全套接字層(SSL)（即HTTPS）訪問。
     
     
   • 使用setspn命令檢查ADFS伺服器的SPN是否正確建立，並檢視輸出。
     
     

        setspn -L 
              
              

     
     
     

     

   
   
   
9. 配置Microsoft Windows客戶端的瀏覽器設定。
   
   
   1. 導航到工具> Internet選項>高級以啟用整合的Windows身份驗證。
      
      
   2. 選中Enable Integrated Windows Authentication覈取方塊:
      
      

      

      
      
      
   3. 導航到工具> Internet選項>安全>本地Intranet >自定義級別……以選擇僅在Intranet區域中自動登入。
      
      

      

      
      
      
   4. 導覽至Tools > Internet Options > Security > Local intranet > Sites > Advanced，以便將Intrusion Detection & Prevention(IDP)URL新增到Local intranet站點。
      
      

      附註：選中Local intranet對話方塊中的所有覈取方塊，然後按一下Advanced頁籤。

      
      
      

      

      
      
      
   5. 導航到Tools > Security > Trusted sites > Sites，將CUCM主機名新增到Trusted sites:
      
      

      

驗證

本節介紹如何驗證使用了哪些身份驗證(Kerberos或NT LAN Manager(NTLM)身份驗證)。

1. 將Fiddler Tool下載到客戶端電腦並進行安裝。
   
   
2. 關閉所有Internet Explorer視窗。
   
   
3. 運行Fiddler工具，並檢查「檔案」選單下是否啟用了Capture Traffic選項。
   
   Fiddler充當客戶端電腦和伺服器之間的傳遞代理，並偵聽所有流量，這將臨時設定您的Internet Explorer設定，如下所示：
   
   

   

   
   
   
4. 開啟Internet Explorer，瀏覽到Customer Relationship Management(CRM)伺服器URL，然後按一下幾個連結以生成流量。
   
   
5. 返回Fiddler主視窗，選擇結果為200（成功）的幀之一：
   
   

   

   
   
   如果身份驗證型別為NTLM，則會在幀的開頭看到協商 — NTLMSSP，如下所示：
   
   

   

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。