WIKI

Active Directory Federation Services (ADFS) je klíčovou komponentou pro zabezpečené sdílení identity mezi důvěryhodnými partnery, umožňující uživatelům přístup k aplikacím a službám napříč organizačními hranicemi bez nutnosti vytvářet více účtů. Přestože ADFS bylo primárně navrženo pro prostředí Windows, díky vývoji open source nástrojů a interoperabilitě je možné tuto službu konfigurovat a spravovat i na systémech CentOS, populární distribuci Linuxu. V tomto článku se zaměříme na detailní proces instalace, konfigurace a správy ADFS na CentOSu s cílem zajistit bezpečné federativní sdílení identity.

Příprava systému

Před zahájením instalace je nezbytné zajistit, že systém CentOS je aktuální a má nainstalovány všechny potřebné závislosti. Tento krok zahrnuje aktualizaci systému a instalaci klíčových balíčků potřebných pro běh ADFS.

sudo yum update -y
sudo yum install -y openldap-clients nss-tools openssl

Instalace a konfigurace ADFS

ADFS není pro Linux přímo dostupné jako balíček, což vyžaduje využití kompatibilních nástrojů, jako je například SAML2 nebo Shibboleth, které poskytují podobné funkcionality. Pro účely tohoto návodu použijeme Shibboleth, který je volně dostupný a široce podporovaný.

1. Instalace Shibboleth

   Shibboleth je možné nainstalovat přímo z CentOS repozitářů:

   sudo yum install -y shibboleth
   

2. Konfigurace Shibboleth

   Po instalaci je nutné konfigurovat Shibboleth pro fungování s ADFS. Tento krok zahrnuje editaci konfiguračních souborů Shibboleth, umístěných v /etc/shibboleth/, kde je nutné nastavit parametry pro komunikaci s ADFS serverem.

   V konfiguračním souboru shibboleth2.xml je potřeba nastavit entityID vaší organizace a metadata poskytovatele identity (IdP), což v našem případě bude ADFS server. Také je třeba nakonfigurovat Assertion Consumer Service (ACS) URL, které slouží k přijímání tvrzení o identitě od ADFS.

3. Nastavení důvěryhodné komunikace

   Důvěryhodná komunikace mezi Shibboleth a ADFS vyžaduje vzájemné sdílení certifikátů. Na straně ADFS je nutné exportovat certifikát a následně jej importovat do keystore Shibboleth, který se obvykle nachází v /etc/shibboleth/.

4. Konfigurace ADFS

   Na straně ADFS je nutné vytvořit novou relaci důvěryhodného partnera pro Shibboleth, což zahrnuje import metadat Shibboleth do ADFS a nastavení pravidel pro vydávání tvrzení. Tato konfigurace umožňuje ADFS rozpoznat požadavky přicházející ze Shibboleth a adekvátně na ně reagovat.

 

Testování a ladění

Po dokončení konfigurace je důle

žné provést testování celého řešení, aby bylo zajištěno, že federativní autentizace funguje správně a bezpečně. Testování zahrnuje ověření komunikace mezi Shibboleth a ADFS, správné fungování vydávání a přijímání tvrzení o identitě, a také kontrolu bezpečnostních aspektů celého procesu.

1. Ověření komunikace

   Začněte ověřením základní komunikace mezi Shibboleth a ADFS pomocí nástrojů jako curl nebo wget. Cílem je zkontrolovat, zda jsou obě služby schopné navzájem komunikovat a vyměňovat si metadata.

   curl -k https://<adfs-server>/FederationMetadata/2007-06/FederationMetadata.xml
   

   Tento příkaz by měl vrátit metadata ADFS serveru, což signalizuje, že základní komunikace funguje.

2. Testování autentizace

   Následně proveďte test autentizace uživatele prostřednictvím Shibboleth, přičemž sledujte, zda je uživatel úspěšně přesměrován na ADFS pro přihlášení a zda se po ověření úspěšně vrátí zpět k aplikaci s validními tvrzeními o identitě.

3. Ladění

   Při problémech s autentizací nebo při výměně tvrzení je často nutné provést ladění konfigurace. Využijte logovací soubory Shibboleth a ADFS, které poskytují důležité informace pro identifikaci a řešení problémů. Logy Shibboleth se obvykle nacházejí v /var/log/shibboleth/, zatímco ADFS logy můžete najít ve Správci událostí Windows.

Udržování a aktualizace

Správná údržba a pravidelné aktualizace jsou klíčové pro zajištění bezpečnosti a stability federativní služby. Zahrnuje to nejen aktualizace samotného CentOS a Shibboleth, ale také sledování nových verzí ADFS a případných bezpečnostních oprav.

1. Pravidelné aktualizace

   Sledujte vydání nových verzí Shibboleth, CentOS a ADFS, a pravidelně provádějte aktualizace, aby vaše systémy zůstaly chráněné před bezpečnostními hrozbami.

2. Monitorování a audit

   Implementujte řešení pro monitorování a auditování, která vám umožní sledovat aktivity související s federativním sdílením identity a rychle reagovat na případné bezpečnostní incidenty.

Federativní autentizace a sdílení identity mezi důvěryhodnými partnery nabízí organizacím flexibilitu a zvýšenou bezpečnost při přístupu k aplikacím a službám. Díky nástrojům jako Shibboleth a správné konfiguraci lze tyto výhody plně využít i v prostředí CentOS. Je však důležité nepodcenit požadavky na správnou instalaci, konfiguraci a zejména na průběžnou údržbu a aktualizace systémů, aby byla zajištěna jejich bezpečnost a spolehlivost.