Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Lokalna synchronizacja zasobów pomiędzy urządzeniami

Data publikacji: 23-05-2019 Autor: Jacek Światowiak
Rys. 1. Instalacja komponentu...

Ostatnio pojawiło się wyzwanie – zbudować rozwiązanie działające podobnie jak chmurowy OneDrive, ale bez wykorzystania zasobów chmurowych. Klient ponadto chciał dodać do tego uwierzytelnianie wieloskładnikowe za pomocą aplikacji, SMS-a lub wiadomości e-mail. Po kilku próbach i przemyśleniach udało się zaprezentować działający mechanizm, który na dodatek nie wykorzystywał komercyjnych aplikacji firm trzecich.

 

Jak zrealizować opisany powyżej scenariusz? Kolejność działań jest następująca:
 

  •  Na dowolnym serwerze z systemem Windows Server 2012 R2/2016/2019 należy zainstalować komponent o nazwie Work Folders (Foldery robocze). Jest to pewnego rodzaju rozwinięcie idei mechanizmu WebDav; dostępu do udziału sieciowego za pomocą protokołu HTTP(S). Klient Work Folders jest wbudowany w systemy Windows 10, dla wcześniejszych wersji systemów Windows należy go pobrać z witryny Microsoft Download. Klienta dla urządzeń mobilnych iOS oraz Android znajdziemy w sklepach App Store i Google Play.
  • Następnie trzeba zainstalować i skonfigurować klienta Work Folders od strony stacji roboczej. W przypadku stacji podłączonych do domeny Active Directory część ustawień można wymusić, używając polis domenowych GPO.
  • Kolejnym krokiem jest instalacja i konfiguracja w środowisku lokalnym usługi Active Directory, Federation Services (ADFS).
  •  W konfiguracji Work Folders należy przełączyć uwierzytelnianie z Windows Integrated Authentication na ADFS (mechanizm aktualnie wykorzystuje protokół Oauth). Nie ma konieczności rejestracji urządzeń przez ADFS.
  • Włączyć obsługę MFA, instalując i konfigurując rozszerzenie MFA do serwera ADFS (dostępne na github.com/neos-sdi/adfsmfa).


> INSTALACJA I KONFIGURACJA SERWERA WORK FOLDERS

Żeby zainstalować komponent Work Folder na serwerze Windows 2012 R2/2016/2019, musimy skorzystać z Server Managera i wybrać go z gałęzi File and Storage Services (rys. 1). Kreator pomoże zainstalować uproszczone usługi webowe IIS Hostable Web Core. Następnie w konsoli Server Managera tworzymy lub wskazujemy folder, który będzie przechowywał udostępnione i/lub synchronizowane foldery dla określonych użytkowników domeny. Operacja wykonywana jest z poziomu kreatora New Sync Share Wizard, gdzie możemy wybrać konwencję nazewniczą tworzonych folderów użytkowników (mają postać login lub login@domena). Jest to wygodne rozwiązanie pozwalające rozróżniać użytkowników w środowisku wielodomenowego lasu AD.

Kreator pozwala na zaszyfrowanie udostępnianego folderu za pomocą mechanizmu Windows Information Protection (WIP), Intune lub SCCM oraz pozwala na wymuszenie zachowania stacji roboczej po podłączeniu do takiego folderu (blokada ekranu z hasłem). Od strony stacji roboczej konfigurację przeprowadzamy z poziomu Panelu sterowania (Foldery robocze/Work Folders, rys. 2).

W kreatorze konfiguracji Work Folders od strony stacji roboczej podajemy służbowy adres e-mail, który w praktyce będzie identyfikatorem logowania podczas nawiązania połączenia z udostępnianymi folderami roboczymi. Jeżeli w organizacji zastosowano niestandardową konwencję nazewniczą publikowanego serwera, można podać również adres URL do folderów roboczych. Domyślnie włączone jest Zintegrowane uwierzytelnianie Windows, a więc stacja robocza powinna podłączyć się bez konieczności podawania loginu i hasła. Informacje o danym folderze roboczym i jego właściwościach znajdziemy w Panelu sterowania (rys. 3a), zaś dostęp do folderu jest m.in. możliwy bezpośrednio z Eksploratora plików (widoczna nazwa Foldery robocze, rys. 3b).

> CENTRALNE ZARZĄDZANIE ZA POMOCĄ GPO I SYNCHRONIZACJA

W polisach domenowych znajdziemy dwie sekcje konfiguracyjne komponentu Work Folders. Na poziomie konfiguracji komputera jest to:

 

  • ścieżka Computer Configuration | Policies | Administrative Templates | Windows Component | Work Folders, ustawienie Force automatic setup for all users – wymusza proces autokonfiguracji folderu roboczego;
  • w gałęzi konfiguracji użytkownika User Configuration | Policies | Administrative Templates | Windows Component | Work Folders, ustawienie Specify Work Folders settings – modyfikacja domyślnego adresu połączeniowego.


Uwaga – klient domyślnie podłącza się pod adres URL o nazwie workfolders.nazwa_domeny_active directory. W sekcji user można zdefiniować inny adres połączeniowy.

W przypadku serwera opartego na Windows Server 2012 R2 i stacjach roboczych starszych niż Windows 10 zawartość synchronizowana jest co 10 minut. W przypadku serwera z Windows Server 2016 i klientów z Windows 10 (w wersji co najmniej 1703) pliki synchronizowane są natychmiast po wprowadzeniu w nich zmian.

> PRZEŁĄCZENIE UWIERZYTELNIANIA NA ADFS

Jeżeli powyższe kroki zostały pomyślnie zrealizowane, można przejść do kolejnych działań. Zakładamy, że konfiguracja ADFS została wykonana oraz że serwer ADFS i serwer udostępniający foldery robocze zostały opublikowane w internecie na portach 443. W konfiguracji Server Managera należy teraz przełączyć uwierzytelnianie z Windows Integrated Authentication na ADFS, a w polu Federation Service URL podać adres URL farmy ADFS (rys. 4).

Następnie w konfiguracji farmy ADFS definiujemy stronę aplikacyjną Relying Party Trust (rys. 5). Identyfikatorem jest zawsze ciąg https://windows-server-work-folders/V1. Następnie definiujemy claimy (mapowanie) i aby mechanizm zadziałał, przekazujemy: User-Principal-Name : UPN, Display-Name : Name, Surname : Surname i Given-Name: Given Name (rys. 6).

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, 2016, Windows 7, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"