Jump to content

ADFS einrichten und nutzen?

Anubis2k

Von Anubis2k
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Anubis2k Community Regular

Anubis2k   14

Geschrieben
Geschrieben

Hallo zusammen,

 

der Typ mit den Fragen ist wieder da :-) Eigentlich wollte ich ja in diesem Jahr mit unseren Fileservern beginnen, es kamen aber zwei andere Dinge hinzu die meinen Kollegen wichtiger waren.

 

Ein Thema ist ADFS... die Grundlagen zu ADFS habe ich mir einmal durchgelesen, daher verstehe ich nun auch wieso mein Kollege möchte dass ich einmal schaue ob ich ADFS für unsere Domäne aktivieren kann, damit unsere Kolleginnen und Kollegen das Webinterface für unsere Telefonanlage via SSO nutzen können. Soweit so gut...

 

Ein Root-PKI, Issuing-PKI existiert und soweit ich das über andere Seiten korrekt verstanden habe, ist das auch eine Grundvoraussetzung.

 

Also habe ich vor ein paar Wochen einen unserer Dienstleister dazu angesprochen, der mir dann gezeigt hatte wie ich mir Zertifikate über unsere PKI für die Systeme ausstellen kann.

 

Bei der Aktivierung des ADFS Dienstes blieben wir dann aber stehen, da wusste der gute Herr dann selbst nicht mehr 100% weiter und traute sich auch nicht.

 

Stehen geblieben waren wir bei dem Punkt dass wir über die PowerShell "Add-KdsRootKey" ausführen müssen, wobei er noch sagte der CMD "Add-KdsRootKey -EffectiveImmediately" wäre wohl sinnvoller wegen der effektiven Zeit, doch bevor ich dieses mache, solle ich doch bitte erst einmal schauen dass unsere Backups funktionieren um die AD nicht kaputt zu machen. Was natürlich die Skepsis noch etwas erhöht hatte.

 

Interessant war noch, über die PKI haben wir für das Webinterface unseres PRTG ein Zertifikat erstellt. Ich wunderte mich dann, dass der Browser noch immer sagt "nicht zu vertrauen" und der Herr sagte mir, dass das ganze NUR im IE funktioniert. Firefox und Chrome gehen nicht, weil sie nicht zu Windows gehören und EDGE würde auch nicht gehen, weil er nicht so in Windows verankert wäre wie ein IE und somit würde es auch nur im IE gehen.

 

Daher hätte ich ein / zwei Fragen an die Profis die das schon ein paar mal gemacht haben...

 

a.) Ist es so komplex / schwer einen ADFS Dienst in eine Domäne einzubringen??

b.) Funktioniert das Vertrauen von SSL Zertifikaten (signiert durch die eigene PKI) nur im IE und keinem anderen Browser??

 

Der Punkt ist ja der, das Webinterface unserer Telefonanlage (so eine Art Callcenter System von Unify) wird bei uns bei einigen im Chrome aufgerufen, bei anderen wiederum im Firefox.

 

Gibt es vielleicht auch eine einfache "step by step" Anleitung zum einrichten eines ADFS, die ihr empfehlen könnt wo ich mir die Schritte auch mal anschauen kann?! Eventuell ist es ja doch einfacher als ich es mir gerade vorstelle und der gute Herr unseres Dienstleisters hat es etwas schwieriger gemacht als es eigentlich ist.

 

Gruß, Dominik

 

p.s. Auch als der Ansatz kam "das Root-PKI gilt ja noch X Jahre, wenn das ausläuft, sollte man lieber Urlaub nehmen bevor man DAS neu machen muss", eventuell war das versteckte Ironie die ich nicht verstand, hab mir das aber erst einmal gemerkt. Aber auch das kann doch nicht SO ein Akt sein, oder doch? Wenn ich so an die großen CA wie Lets Encrypt denke, muss bei denen ja immer Katastrophentag sein wenn deren CA auslaufen.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.804

Geschrieben
Geschrieben
vor 9 Minuten schrieb Anubis2k:

Ein Root-PKI, Issuing-PKI existiert und soweit ich das über andere Seiten korrekt verstanden habe, ist das auch eine Grundvoraussetzung.

 

Nein, das ist keine Grundvoraussetzung. ;) Jedenfalls keine eigene.

 

vor 9 Minuten schrieb Anubis2k:

Stehen geblieben waren wir bei dem Punkt dass wir über die PowerShell "Add-KdsRootKey" ausführen müssen, wobei er noch sagte der CMD "Add-KdsRootKey -EffectiveImmediately" wäre wohl sinnvoller wegen der effektiven Zeit, doch bevor ich dieses mache, solle ich doch bitte erst einmal schauen dass unsere Backups funktionieren um die AD nicht kaputt zu machen. Was natürlich die Skepsis noch etwas erhöht hatte.

 

Dann soll er doch einfach sagen er weiß nicht was er tun soll.

 

vor 10 Minuten schrieb Anubis2k:

Gibt es vielleicht auch eine einfache "step by step" Anleitung zum einrichten eines ADFS, die ihr empfehlen könnt wo ich mir die Schritte auch mal anschauen kann?! Eventuell ist es ja doch einfacher als ich es mir gerade vorstelle und der gute Herr unseres Dienstleisters hat es etwas schwieriger gemacht als es eigentlich ist.

 

Diverse. Wie gut die sind, kann ich nicht sagen. Fakt ist, ADFS ist bei MS vorhanden aber nicht besonders gut dokumentiert usw. Auch bei 3rd Party Anbietern ist das Thema SAML mit ADFS nicht ganz oben in der Prioritätenliste. Wir haben das für diverse Dienste (u.a. auch für O365 und Webex) am laufen. Also wenn du konkretere Fragen haben solltest, kann ich natürlich versuchen die zu beantworten.

 

vor 12 Minuten schrieb Anubis2k:

p.s. Auch als der Ansatz kam "das Root-PKI gilt ja noch X Jahre, wenn das ausläuft, sollte man lieber Urlaub nehmen bevor man DAS neu machen muss", eventuell war das versteckte Ironie die ich nicht verstand, hab mir das aber erst einmal gemerkt.

Naja Ironie seh ich da keine. Aber Fakt ist, man sollte anfangen bevor das Zertifikat abgelaufen ist. Und zwar nicht erst 2h vorher sondern eher so 6 Monate. ;)

 

vor 13 Minuten schrieb Anubis2k:

Aber auch das kann doch nicht SO ein Akt sein, oder doch? Wenn ich so an die großen CA wie Lets Encrypt denke, muss bei denen ja immer Katastrophentag sein wenn deren CA auslaufen.

Wie oft laufen die denn aus? ;) Und ja PKI ist weniger technisch als organisatorisch. Ich hör Ni<PKI-ist ...>ls um die Ecke schleichen. ;)

 

Bye

Norbert

  • Haha 2
Link zu diesem Kommentar
Anubis2k Community Regular

Anubis2k   14

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb NorbertFe:

Fakt ist, ADFS ist bei MS vorhanden aber nicht besonders gut dokumentiert usw.

Ja, so habe ich die Aussage von Nils in seinen Grundlagen aus 2014 auch verstanden und hatte die Hoffnung, dass sich so etwas nach X Jahren schon mal "verbessert" hat :-)

 

Zu der Frage wie oft bei Lets Encrypt irgend welche CA's auslaufen, keine Ahnung... damals gab es ja so etwas die StartSSL, dann gibt es ja Symantec, GlobalSign und wie sie alle heißen, die gibt es ja auch schon diverse Jahre und müssen auch mal ihre CA's aktualisieren.

 

Aber wenn man grob 6 Monate vorher das PKI verlängert bevor es ausläuft, ist das ja noch alles im grünen Bereich. Mir ging nur erst einmal die Pumpe als der gute Herr diese Andeutung gemacht hatte.

 

vor 7 Minuten schrieb NorbertFe:

Nein, das ist keine Grundvoraussetzung.

Eventuell hab ich das auch falsch interpretiert. Vom Verständnis her habe ich es so aufgenommen, dass SSO nur dann funktioniert wenn ein valides SSL Zertifikat vorhanden ist und dieses würde dann über unsere PKI validiert werden. Und so kam ich dann zu dem Gedanken mit dem Browser, ob man ein validiertes Zertifikat denn auch nur im IE gangbar bekommt.

 

Ich würde aber morgen auf der Arbeit noch mal die Schritte bezüglich des ADFS durch gehen, damit ich genauere Fragen habe.

 

Aber ich bedanke mich schon mal für deine Anteilname :-) 

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.804

Geschrieben
Geschrieben
vor 4 Minuten schrieb Anubis2k:

dass SSO nur dann funktioniert wenn ein valides SSL Zertifikat vorhanden ist und dieses würde dann über unsere PKI validiert werden.

Nein der SAML Dienst muss ein Zertifikat anbieten dem der Client vertraut. Ob das jetzt ein eigenes, gekauftes oder ein selfsigned ist ist grundsätzlich egal. Macht aber je nachdem mehr Aufwand.

 

Wenn das ne produktive Umgebung sein sollte, würde ich mir an deiner Stelle erstmal eine Testumgebung aufbauen. Außer du hast eine produktive Testumgebung (wie fast alle), aber dann weißt du ja was du tust. ;)

 

Bye

Norbert

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

um es kurz zu machen: Dein Dienstleister hat (wenn es zutrifft, was du hier angibst) weder von PKI noch von ADFS ausreichend Ahnung. Binde ihn da nicht ein, sondern such dir für diese Themen jemand anderen. Das ist alles kein Hexenwerk, wenn man sich auskennt - aber leider befassen sich wenige so weit damit, dass sie sich auskennen. Und dann funktioniert es nicht, nicht sicher oder nicht zuverlässig. Im Fall von ADFS wäre dann "funktioniert nicht" die wahrscheinlichste Variante, im Fall der PKI ist "nicht sicher" am häufigsten. (Ich habe auch eine Vermutung, in welche Kategorie eure vorhandene PKI fällt ...)

 

ADFS betreibt man produktiv nicht mit internen TLS-Zertifikaten, sondern mit "gekauften". Auch Let's Encrypt würde ich für den Zweck nicht nutzen - wenn man es hinbekäme (weiß ich nicht, hab ich dafür noch nie in Erwägung gezogen), wäre es vermutlich viel Aufwand und viel Fehlerquelle.

 

Gruß, Nils

 

  • Like 3
Link zu diesem Kommentar
Anubis2k Community Regular

Anubis2k   14

Geschrieben
  • Autor
Geschrieben

Moin und schon mal vielen Dank für die Rückmeldungen :-)

 

Bezüglich des Dienstes (unser Webinterface der Telefonanlage) ist ausschließlich intern erreichbar und nicht von extern. Somit könnte man die PKI verwenden, unter der Voraussetzung dass es natürlich auch mit anderen Browsern klappt. Wenn es bezüglich der Kompatibilität zu anderen Browsern schon Probleme gibt, macht es eventuell doch Sinn unser gekauftes Wildcard Zertifikat zu verwenden und den DNS Eintrag umzubiegen.

 

An sich ist der Anwendungsfall wie in dem Artikel von Nils, den ich im ersten Post verlinkt habe. Wir wollen einen Anmeldeprozess wie in der dritten Grafik durchführen.

 

Benutzer meldet sich morgens am PC (Notebook etc.) an, geht auf das Mitarbeiterportal unserer Unify Anlage und dort wird via SSO ein Login durchgeführt und der Mitarbeiter kann loslegen :-)

 

vor 11 Stunden schrieb NilsK:

Das ist alles kein Hexenwerk, wenn man sich auskennt - aber leider befassen sich wenige so weit damit, dass sie sich auskennen.

Vermutlich gehen die meisten Leute auch ganz andere Wege und versuchen es dann weg zu lassen. Was am Ende ebenfalls ein Grund ist, wieso ADFS nicht so super gut dokumentiert ist, wie du auf deiner Seite geschrieben hattest. Würden es mehrere Leute verwenden, gäbe es mit Sicherheit mehr Dokumentationen dazu :-)

 

Gruß, Dominik

Link zu diesem Kommentar
Anubis2k Community Regular

Anubis2k   14

Geschrieben
  • Autor
Geschrieben

Alles klar, weiß ich Bescheid... hätte ja sein können, dass es doch mehr Sinn macht :-)

 

vor 14 Stunden schrieb NorbertFe:

Wenn das ne produktive Umgebung sein sollte, würde ich mir an deiner Stelle erstmal eine Testumgebung aufbauen. Außer du hast eine produktive Testumgebung (wie fast alle), aber dann weißt du ja was du tust.

Was diese Aussage angeht, kommt mir vertraut vor. Bei meinem ehemaligen Arbeitgeber hatten wir keine Dev oder Staging Ebene und bei uns bezüglich der AD gibt es auch nur die produktiv genutzte Domäne. Darum bin ich bei uns im Unternehmen (wo ich jetzt bin) noch etwas vorsichtiger. Wenn ich beim alten Arbeitgeber (klein Unternehmen aus unter 10 Personen) was kaputt gemacht habe, war ich alleine dafür verantwortlich und hab es gerade gebogen :-)

 

Ich hab auch (leider) oft festgestellt, es wird immer nur eines zu 100% "gut" gepflegt. Was dann dazu führte, dass die Testumgebung nicht mehr auf dem Stand der Live-Umgebung ist und wenn sie gleich sind, hab ich oft erlebt das Dinge die in der Testumgebung funktioniert haben, in der Live-Umgebung nicht funktionieren.

 

Gruß, Dominik

Link zu diesem Kommentar
Anubis2k Community Regular

Anubis2k   14

Geschrieben
  • Autor
Geschrieben

Ja, in einer kleinen Testumgebung werde ich das auch mal ausprobieren. Hab zuhause nen Proxmox und wenn ich mich nicht irre, gab es mal so Lizenz Schlüssel für Serversysteme die eine maximale Laufzeit von 14 Tagen haben (oder so), damit kann ich das definitiv hier bei mir nachbauen und testen, bevor ich etwas zerschieße.

 

Meine Aussage sollte also nicht darauf hinauszielen, dass ich jetzt loslege und einfach mal unsere AD mit neuen Techniken beschieße und am Ende geht nichts mehr.

 

Gruß, Dominik

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...