5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 1/17
Active Directory Federation Service :authentification pour Apache 2.0avec SourceID WsFedAuth
Microsoft Corporation
Publié : Juin 2006
Auteur : Guillaume Aubert
Objectifs de ce guide
Tout au long de ce guide, nous étudierons par un cas pratique comment mettre en
place en environnement de single-sign-on reposant sur Active Directory Federation
Services pour des serveurs applicatifs non Microsoft comme Apache 2.0. Nous
utiliserons WS-Federation for Apache 2.0 Toolkit. Ce guide mène à l’illustration des
principes d’ADFS en utilisant des applications classiques.
Pour construire cet environnement, nous supposerons que vous êtes familiers avec
Windows Server 2003 R2 et que vous disposez d’une infrastructure de test Active
Directory Federation Service pour dérouler les étapes de ce guide. Il vous sera
également nécessaire de disposer d’une distribution Linux pour supporter Apache 2.0
(nous prendrons ici pour les exemples de cette démonstration une version Debian 3.1
GNU/Linux librement téléchargeable sur le site de l’éditeur.)
Le temps nécessaire pour compléter les étapes de ce guide est estimé à environ une
heure.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 2/17
Les informations contenues dans ce document, y compris les URL et autres
références de sites Web Internet, pourront faire l'objet de modifications sans préavis.
Sauf mention contraire, les sociétés, les organisations, les produits, les noms dedomaine, les adresses électroniques, les logos, les personnes, les lieux et les
événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, organisations, produits, noms de domaine, adresses électroniques, logos,
personnes, lieux et événements réels est purement fortuite et involontaire.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur
applicable dans son pays. Aucune partie de ce document ne peut être reproduite,
stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou
par quelque moyen que ce soit (électronique, mécanique, photocopie,
enregistrement ou autre) sans la permission expresse et écrite de Microsoft
Corporation.
Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de
brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété
intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent
document. Sauf stipulation expresse contraire d'un contrat de licence écrit de
Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une
licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété
intellectuelle.
© 2006 Microsoft Corporation. Tous droits réservés.
Active Directory, Microsoft, SharePoint,MS-DOS, Windows, Windows NT et Windows
Server sont soit des marques de Microsoft Corporation, soit des marques déposéesde Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Les noms de sociétés et de produits mentionnés dans ce document sont des
marques de leurs propriétaires respectifs.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 3/17
Table des matières
Active Directory Federation Service : authentification pour Apache 2.0 avec SourceID
WsFedAuth ...............................................................................................................1
Objectifs de ce guide .............................................................................................1
Table des matières .......................................................................................................3
ADFS authentification pour Apache 2.0 avec SourceID WSFedAuth ...........................4
A propos de ce guide ................................................................................................4
Attention, ce guide n’est pas ...............................................................................4
Pré requis .............................................................................................................5
Etape 1 : Installation de l’environnement Linux ............................................................6
Installation de Debian GNU/Linux ............................................................................6
Mise à jour de votre machine ................................................................................6
Installation d’Apache 2.0 ......................................................................................7
Configuration réseau .............................................................................................7
Paramétrage du nom de la machine ......................................................................8
Paramétrage de la configuration IP ......................................................................8
Paramétrage des informations de résolution de noms ..........................................9
Installation du module Apache WSFedAuth ..............................................................9
Installation des librairies ........................................................................................9
Compilation du module Apache WSFedAuth .......................................................10
Création et importation des certificats .....................................................................11
Création du certificat serveur pour ws0.treyresearch.net..................................... 11
Etape 2 : Configuration de WSFedAuth .....................................................................13
Edition du fichier de configuration ...........................................................................13
Redémarrage du serveur Apache ..........................................................................15
Etape 3 : Configuration du serveur de ressource ADFS .............................................15
Ajout du serveur web dans le DNS .........................................................................15
Configurer le serveur de fédération ressource (Trey Research) ............................16Ajouter et configurer l’application web .................................................................16
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 4/17
ADFS authentification pour Apache 2.0avec SourceID WSFedAuth
A propos de ce guideCe guide vous permettra de construire une infrastructure de démonstration pour
évaluer les capacités d’authentification de ADFS en environnement non Microsoft.
Il vous permet d’établir un environnement single-sign-on utilisant les principes de
délégation d’authentification de ADFS. Il vous guidera dans l’installation descomposants logiciels et le paramétrage de l’environnement.
Ce guide suppose que vous êtes familiers avec ADFS ainsi que l’environnement
d’évaluation “ADFS Pas-à-pas” disponible également sur le site de Microsoft :
http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-
9BBD-A103B9F27654&displaylang=fr
Pour toute référence concernant ADFS, veuillez consulter notre site :
http://www.microsoft.com/france/windows/windowsserver2003/R2/identite.mspx
Attention, ce guide n’est pas
• Un guide de référence constituant les meilleures pratiques pour mettre en
place un environnement de production ADFS. Il permet uniquement d’illustrer
dans un environnement de test, les possibilités d’interopérabilité de ADFS
utilisant les tickets SAML.
Pour plus d’informations concernant les meilleures pratiques de déploiement et
de gestion de ADFS, veuillez vous référer aux livres blancs suivants disponibles
également sur le site Internet de Microsoft Windows Server 2003 R2 Roadmap.
• Un guide pour installer et configurer les services de certificats pour ADFS.
Pour plus d’informations à propos des services de certificats dans Windows 2003
Server, veuillez vous référer aux livres blancs suivants disponibles également sur
le site Internet de Microsoft Public Key Infrastructure for Windows Server 2003.
• Un guide pour installer un proxy de fédération de services.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 5/17
Pré requis
Pour mener à bien ce laboratoire, vous aurez besoin
• De l’environnement d’évaluation « ADFS Pas à pas » (réalisable grâce au
document http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-
A82F-4428-9BBD-A103B9F27654&displaylang=fr )
• D’une distribution Debian GNU/Linux (http://www.debian.org)
• D’une connexion internet pour télécharger les composants Apache ainsi que
le kit SourceID WS-Federation (http://www.sourceid.org)
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 6/17
Etape 1 : Installation del’environnement Linux
La première étape consiste à la mise en place du serveur Web.
Pour les besoins de cette démonstration nous utiliserons une distribution Debian
GNU/Linux 3.1 qu’il vous est possible de télécharger depuis l’adresse de son éditeur.
(http://www.debian.org).
Installation de Debian GNU/LinuxLe but de guide n’est pas de décrire l’installation d’une distribution Linux, nous
utiliserons pour cet atelier l’installation minimale proposée par la version stable de
Debian.
Mise à jour de votre machine
Il est de bon usage de mettre à jour la distribution que vous venez d’installer :
Important
Si vous êtes connectés à Internet via un proxy, vous devrez d’abord spécifier
celui-ci au système en utilisant les instructions suivantes :
export http_proxy=http://myproxyadress:myproxyport
L’utilitaire de gestion de paquets apt permet de gérer les installations pour la
distribution Debian; pour effectuer les mises à jour il vous suffit de taper dans la
console :
apt-get update
Note
Cette commande permet de mettre à jour la liste des paquets qui peuvent
être installés sur le système.
apt-get upgrade
Note
Cette commande met à jour les paquets.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 7/17
Vous devrez ensuite suivre les instructions de mise à jour.
Installation d’Apache 2.0
Dans ce guide, nous utilisons les paquets Apache fournis par Debian en utilisant le
gestionnaire d’installation. Encore une fois, il ne s’agit nullement des meilleures
pratiques en termes de sécurité mais cela sera suffisant pour notre environnement
d’évaluation. Il vous est par-ailleurs possible d’utiliser des versions plus récentes
d’Apache 2.0 ou de compiler votre propre version. Il vous appartiendra alors
d’assurer les dépendances associées et la présence du module SSL.
Lancez l’installation de vim (un éditeur de texte), de Apache ainsi que les fichiers
nécessaires à la compilation de module Apache (apache2-threaded-dev), à l’aide
des instructions suivantes (en tant qu’utilisateur root) :
apt-get install vim
apt-get install apache2
apt-get install apache2-threaded-dev
Une fois l’installation achevée, le service sera automatiquement démarré.
Les fichiers de configuration sont localisés dans le répertoire : /etc/apache2
Les fichiers de journaux sont eux localisés dans le répertoire : /var/log/apache2
Configuration réseau
Nous appellerons notre serveur de démonstration ws0; il s’insérera dans notre
architecture ADFS treyresearch.net, son nom de machine pleinement qualifié sera
donc ws0.treyresearch.net. Le tableau suivant vous permet de suivre les
configurations réseau des différentes machines de cet atelier.
Nom de la machine Rôle ADFS OS Paramètres IP Paramètres
DNS
client.adatum.com Client Windows XP
Service
Pack 2 (SP2)
Adresse IP :
172.16.101.51
Masque de
sous-réseau :
255.255.255.0
172.16.101.50
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 8/17
Nom de la machine Rôle ADFS OS Paramètres IP Paramètres
DNS
ws0.treyresearch.net Serveur
Web
Debian
GNU/Linux
3.1 avec
Apache 2.0
Adresse IP :
172.16.101.54
Masque de
sous-réseau :
255.255.255.0
172.16.101.49
account.adatum.com Serveur de
fédération
et
contrôleur de domaine
Windows
Server 2003
R2, Enterprise
Edition
Adresse IP :
172.16.101.50
Masque de
sous-réseau :
255.255.255.0
172.16.101.50
resource.treyresearch.net Serveur de
fédération
et
contrôleur
de domaine
Windows
Server 2003
R2, Enterprise
Edition
Adresse IP :
172.16.101.49
Masque de
sous-réseau :
255.255.255.0
172.16.101.49
Paramétrage du nom de la machine
Pour définir le nom réseau de la machine
1. Editer le fichier /etc/hostname (en tant qu’utilisateur root)
en tapant vim /etc/hostname
2. Dans les paramètres de nom de machine, spécifier
ws0.treyresearch.net
3. Renseigner ensuite le fichier /etc/hosts (en tant qu’utilisateur root)
en tapant vim /etc/hosts et changer localhost.localdomain par
ws0.treyresearch.net
Paramétrage de la configuration IP
Pour définir la configuration IP de la machine
1. Editer le fichier /etc/network/interfaces (en tant qu’utilisateur root)
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 9/17
en tapant vim /etc/network/interfaces
2. Et définir
auto eth0
iface eth0 inet static
address 172.16.101.54
netmask 255.255.255.0
gateway 172.16.101.1
Paramétrage des informations de résolution de noms
Pour définir les informations de résolution de noms
1. Editer le fichier /etc/resolv.conf (en tant qu’utilisateur root)
en tapant vim /etc/resolv.conf
2. Et ajouter l’entrée suivante pour pointer vers le serveur DNS de
l’infrastructure
nameserver 172.16.101.49
Installation du module Apache WSFedAuthSourceID fournit sur son site Web les sources au format ZIP pour les environnements
Windows/Linux. Il vous est possible de vous les procurer sur le site web de l’éditeur à
l’adresse suivant : http://www.sourceid.org
Pour compiler le module Apache nous devons d’abord installer les librairies
nécessaires à WS-Federation.
Installation des librairies
Voici la liste des librairies nécessaire à la compilation du module Apache :
• Libxml2,
• The Apache Xalan Project ,
• Xerces,
• libapreq2.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 10/17
Note
Pour le moment, le paquet Debian libapreq2 n’est disponible que dans la
version testing. Pour installer cette librairie, il faut ajouter les sourcestesting dans le fichier /etc/apt/source.list.
• XML Security Library.
Note
Le paquet Debian correspondant à la librairie XML Security n’est pas
disponible pour le moment. Il est donc nécessaire de le télécharger et de
l’installer manuellement.
Pour installer les libraires (en tant qu’utilisateur root)
1. apt-get install libxml2-dev.
2. apt-get install libxalan18-dev.
3. apt-get install libxerces25-dev, (automatiquement installé par dépendance).
4. apt-get install libapreq2-dev.
Téléchargement et installation de la librairie XML Security
Télécharger la librairie à l’adresse http://xml.apache.org/security/dist/c-library/.
Pour installer la librairie XML Security
1. tar zxvf xml-security-c.x.x.x.tar.gz –C /tmp/, (où x.x.x est la version)
2. cd /tmp/xml-security-c-x.x.x/src/
3. ./configure --prefix=/usr .
4. make.
5. make install (en tant qu’utilisateur root).
6. make clean
Compilation du module Apache WSFedAuth
Pour compiler et installer le module Apache WSFedAuth
1. apt-get install unzip, (en tant qu’utilisateur root)
2. unzip WS-Federation_for_Apache_2.0_Toolkit_1.0_Beta.zip –d /tmp/
3. cd /tmp/WS-Federation\ for\ Apache\ 2.0\ Toolkit\ 1.0\ Beta/src/
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 11/17
4. gcc -I/usr/include -I/usr/include/apreq2 -I/usr/include/libxml2
-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c validate_rstr.cpp
5. gcc -I/usr/include -I/usr/include/apreq2 -I/usr/include/libxml2
-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c parse_rstr.c
6. gcc -I/usr/include -I/usr/include/apreq2 -I/usr/include/libxml2
-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c mod_auth_adfs.c
7. /bin/sh ./libtool --mode=link g++ -g -O2 -o mod_auth_adfs.la -rpath
/usr/local/lib -module validate_rstr.lo parse_rstr.lo mod_auth_adfs.lo
-lxerces-c -lxml-security-c -lxml2 -lssl -lapreq2
8. apxs2 –i mod_auth_adfs.la
Création et importation des certificatsIl est possible d’utiliser des certificats auto-signés ou de requêter des certificats
auprès de l’autorité de certification du serveur de fédération du royaume auquel
appartient le serveur web (treyresearch.net dans l’exemple « ADFS Pas à pas »).
Création du certificat serveur pour ws0.treyresearch.net
Nous pouvons utiliser OpenSSL pour générer nos certificats auto signés.
Générons une clé:
openssl genrsa -des3 -out /etc/apache2/ssl/ws0.key 1024
Générons le certificat
openssl req -new -x509 -days 365 -key ws0.key -out ws0.crt
openssl rsa -in ws0.key -out ws0.key
Créer ensuite le fichier de configuration d’Apache ws0 dans le répertoire /etc/apache2/sites-avalaible/
ws0
NameVirtualHost *<VirtualHost *>
ServerName ws0.treyresearch.netServerAdmin [email protected] On#SSLCertificateFile /etc/apache2/ssl/ws0.pemSSLCertificateKeyFile /etc/apache2/ssl/ws0.key
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 12/17
SSLCertificateFile /etc/apache2/ssl/ws0.crt
DocumentRoot /var/www
<Directory />Options FollowSymLinksAllowOverride None
</Directory><Directory /var/www/>
Options Indexes FollowSymLinks MultiViewsAllowOverride NoneOrder allow,denyallow from all
</Directory>
ErrorLog /var/log/apache2/error.log
LogLevel warn
CustomLog /var/log/apache2/access.log combinedServerSignature On
</VirtualHost>
Il est également possible d’importer un certificat au format PFX généré sur une des
machines de l’environnement Windows Server ADFS Pas à pas en utilisant la
commande :
openssl pkcs12 –in ws0.pfx –out ws0.pem –nodesIl nous faudra alors modifier en conséquence le fichier ws0.
ws0
SSLCertificateFile /etc/apache2/ssl/ws0.pem#SSLCertificateKeyFile /etc/apache2/ssl/ws0.key#SSLCertificateFile /etc/apache2/ssl/ws0.crt
Nous activons le site ws0 et désactivons le site par défaut.
Pour activer le site ws0
1. a2ensite ws02. a2dissite 000-default
Nous souhaitons que le serveur Apache n’écoute pas sur le port 80, afin de ne
répondre qu’aux requêtes https.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 13/17
Pour écouter sur le port 443
1. vim /etc/apache2/ports.conf
2. remplacer 80 par 443
Notre serveur web est maintenant prêt.
Etape 2 : Configuration de WSFedAuth
Maintenant que nous avons configuré l’environnement de base : serveur web, et
certificats, il nous faut configurer le module Apache pour l’environnement ADFS.
Edition du fichier de configurationD’une manière générale, pour configurer un module Apache, il suffit d’éditer le fichier
de configuration du module ( /etc/apache2/mods-avaible/auth_adfs.conf ).
Pour configurer le module (en tant qu’utilisateur root)
1. Editere le fichier /etc/apache2/mods-avaible/auth_adfs.load
vim /etc/apache2/mods-avaible/auth_adfs.load
2. Et définir
LoadModuleauth_adfs_module/usr/lib/apache2/modules/mod_auth_adfs.so
3. Editer le fichier /etc/apache2/mods-avaible/auth_adfs.conf
vim /etc/apache2/mods-avaible/auth_adfs.conf
4. Et définir
# Timers for the Auth tokenWSFedAuthTokenRenewalTimer 60WSFedAuthTokenInactivityTimer 1500WSFedAuthTokenSessionTimer 3000
# Specify the domain for the cookie containing the Auth tokenWSFedAuthCookieDomain ws0.treyresearch.net
# Specify the path for the cookie containing the Auth tokenWSFedAuthCookiePath /
# If set to "yes" the cookie is only sent while using SSLWSFedAuthCookieSecure Yes
# Specify the URL for the ADFS Federation Service here, for e.g.,#https://<ADFS_FEDERATION_SERVER>/adfs/fs/FederationServerService.asmx#where <ADFS_FEDERATION_SERVER> is the hostname for the ADFS
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 14/17
WSFedAuthSTSURL https://resource.treyresearch.net/adfs/ls/
# The URL where the module is expecting the RSTR from ADFS.
WSFedAuthRstrReply /rstrreply
#WSFedAuthFailureURL /authfailure.html#WSFedAuthSTSFailureURL /stsauthfailure.html
# URL to initiate signout from the moduleWSFedAuthSignOut /signout
# Specify the URL for the ADFS Federation Service for Logout here, for e.g.,#https://<ADFS_FEDERATION_SERVER>/adfs/fs/FederationServerService.asmx#where <ADFS_FEDERATION_SERVER> is the hostname for the ADFSWSFedAuthSTSSignOutURL https://resource.treyresearch.net/adfs/ls/
# URL where ADFS sends the cleanup requestWSFedAuthSignOutCleanup /cleanup
#WSFedAuthSignOutFailureURL /signoutfailure.html#WSFedAuthSignOutCompleteURL /signoutcomplete.html
WSFedAuthTokenPassphrase 67vjdGnkigt53fuS698gvcx@431flbx9XSlo4FcnWSFedAuthCertFile /etc/apache2/ssl/resource_signing.cer
# Hostname and port where Apache Server is installedWSFedAuthRealm https://ws0.treyresearch.net
<Directory /protected-resources/>
AuthType WSFedAuth</Directory> <Location /protected-resources/>AuthType WSFedAuth
</Location>
Dans ce fichier de configuration, nous déclarons l’url pour joindre le serveur defédération du royaume ressource ADFS :WSFedAuthSTSURL https://resource.treyresearch.net/adfs/ls/.
Nous déclarons ensuite les répertoires ainsi que les droits requis pour y accéder, à
l’aide des directives < Directory> et <Location>; ici le répertoire protégé estprotected-resources.
Nous créons la ressource à protéger dans le répertoire racine du site web( /var/www/).
Pour créer la ressource à protéger (en tant qu’utilisateur root)
1. mkdir /var/www/protected-resources
2. cp /tmp/WS-Federation\ for\ Apache\ 2.0\ Toolkit\ 1.0\
Beta/dist/htdocs/prot/prot.html /var/www/protected-
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 15/17
resources/index.html
3. chown -R root:root /var/www/protected-resources
Redémarrage du serveur ApacheUne fois ces changements effectués, il est nécessaire d’activer le module et de
redémarrer le serveur Apache.
Pour activer le module et redémarrer Apache (en tant qu’utilisateur root)
1. a2enmod auth_adfs
2. apache2ctl restart
Pour tester que le serveur à bien redémarrer nous pouvons tester :
• wget https://ws0.treyresearch.net
Et nous assurer que nous avons bien une réponse de type HTTP 200.
Surveiller les logs
Pour s’assurer que tout fonctionne correctement et dépanner les services en
cas de problèmes, les fichiers de logs sont situés dans le répertoire :
/var/log/httpd/
Etape 3 : Configuration du serveur deressource ADFS
Une fois les étapes précédentes complétées, paramétrons les services de fédération
côté ressource (treyresearch.net) et côté compte (account). Les paramètres de
fédération entre les serveurs ressource et compte sont ceux donnés dans l’atelier
« ADFS Pas à pas ». Voyons maintenant comment y ajouter notre serveur Web
Apache pour tirer partie de Active Directory Federation Service.
Ajout du serveur web dans le DNSLa première chose à faire pour que nos machines de laboratoire aient accès au
serveur est de renseigner le DNS de l’architecture.
Créer une entrée statique dans le DNS
1. Cliquer sur Demarrer , se diriger sur outils administratifs et cliquer sur
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 16/17
DNS
2. Dans la zone de forward treyresearch.net, ajouter une entrée A
3. Entrer ws0 (pour obtenir ws0.treyresearch.net) et l’adresse IP
172.16.101.54
Configurer le serveur de fédérationressource (Trey Research)
Ajouter et configurer l’application web
SourceID fournit un exemple d’application web.
• Une application traditionnelle (non claims-aware), utilisant les mécanismes
de sécurité Apache (protected-resources).
Il nous reste maintenant à ajouter et à configurer cette application dans la console
d’administration de Active Directory Federation Services.
Ajout d’applications pour ADFS
Pour ajouter des applications
1. Dans le menu Start, cliquer sur All Programs, Administrative Tools, etcliquer sur Active Directory Federation Services.
2. Double cliquer sur Federation Service, double cliquer sur Trust Policy,
double cliquer sur My Organization, clique droit sur Applications, New,
Application.
3. A l’écran de bienvenue de l’assistant cliquer sur Next.
4. A l’écran Application Type, cliquer sur Windows NT token-based
application, puis Next.
5. A l'écran Application Details, dans Application display name, taper
ADFS Apache WSFedAuth.
6. Dans Application URL, taper https://ws0.treyresearch.net/rstrreply
puis cliquer sur Next.
7. A l’écran Generating the Accepted Identity Claims page, verifier que
User principal name (UPN) est sélectionné et cliquer sur Next.
8. A l’écran Enable this Application, vérifier que Enable this application
est sélectionnée, et cliquer sur Next.
9. A l’écran Completing the Add Application Wizard, cliquer Finish.
5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com
http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 17/17
Tester l’accès au site Trey Research
Nous pouvons maintenant tester la configuration. Pour se faire nous utilisons
l’ordinateur Client. On ouvre le navigateur Windows à l’adresse
https://ws0.treyresearch.net. Il est possible que le navigateur vous demande de
choisir votre royaume (home realm), sélectionner A. Adatum et cliquer sur Submit. A
partir de ce moment, le site Trey Research va s’afficher.
Top Related