Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


22.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...
22.03.2019

Segmentacja sieci

Fortinet FortiGate 3600E, 3400E, 600E i 400E
22.03.2019

Monitoring IP

TP-Link TL-SL1218MP
22.03.2019

Efektywność energetyczna

UPS Eaton 93E
21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized

Publikowanie dostępu do folderów roboczych

Data publikacji: 26-09-2018 Autor: Michał Gajda
SCHEMAT ARCHITEKTURY DLA...

Zasoby plikowe użytkowników nie muszą być dostępne tylko i wyłącznie w ramach wewnętrznej sieci firmowej lub za pośrednictwem połączeń VPN. Dzięki zastosowaniu integracji folderów roboczych z usługą Web Application Proxy możliwe jest uzyskiwanie bezpiecznego dostępu do własnych zasobów praktycznie z dowolnego miejsca na świecie.

 

Rozwiązanie folderów roboczych jest doskonałą alternatywą w dostarczaniu użytkownikom końcowym prywatnego zasobu sieciowego zlokalizowanego na lokalnych serwerach plikowych organizacji. Oczywiście można by stwierdzić, że uzyskiwanie dostępu do folderów domowych można zorganizować poprzez klasyczne mapowanie dysków, jednak nie w każdej sytuacji takie podejście się sprawdza. Na przykład w przypadku, gdy próbujemy uzyskać dostęp spoza sieci firmowej lub na przykład z urządzeń mobilnych, takich jak tablety czy smartfony.

W poprzednim artykule przedstawiliśmy podstawową konfigurację usługi folderów roboczych z wykorzystaniem klasycznego uwierzytelniania systemu Windows. Wspomniane rozwiązanie może być już z powodzeniem wykorzystywane jednak tylko i wyłącznie w ramach wewnętrznej infrastruktury IT. Aby możliwe było korzystanie z tej technologii spoza sieci firmowej, konieczne jest dokończenie wdrożenia poprzez integrację z dwoma kolejnymi rozwiązaniami, jakimi są Active Directory Federation Services oraz Web Application Proxy.

> INTEGRACJA Z ACTIVE DIRECTORY FEDERATION SERVICES

W celu umożliwienia dostępu zewnętrznego dla usługi folderów roboczych należy wykorzystać w ramach infrastruktury IT kilka dodatkowych usług. Cała architektura omawianego rozwiązania została zaprezentowana na schemacie.


Podstawowym elementem w całej konfiguracji jest wykorzystanie usługi Active Directory Federation Services. Dla naszego testowego wdrożenia przyjmijmy, iż wspomniana usługa pracuje już w ramach naszego środowiska, na przykład w najnowszej wersji, czyli na systemie Windows Server 2016. Konfiguracja usługi ADFS będzie więc skupiała się na odpowiednim utworzeniu i skonfigurowaniu zaufania jednostki uzależnionej (Relying Party Trust). Proces ten został przedstawiony w ramce Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych. Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych możemy również wykonać za pośrednictwem konsoli Windows PowerShell. W tym celu wystarczy posłużyć się tylko jednym poleceniem – Add-ADFSRelyingPartyTrust:

Add-ADFSRelyingPartyTrust -Name `
"WorkFolders" -Identifier `
https://windows-server-work-folders/V1 `
-AccessControlPolicyName "Permit everyone" `
-IssuanceTransformRules '@RuleTemplate = "LdapClaims"
@RuleName = "Claims from AD"
c:[Type == `
"http://schemas.microsoft.com/ws/2008/06/identity/`
claims/windowsaccountname", Issuer == `
"AD AUTHORITY"] => issue(store = "Active Directory",
types = ("http://schemas.xmlsoap.org/ws/2005/05/`
identity/claims/upn", "http://schemas.xmlsoap.org/`
ws/2005/05/identity/claims/name", `

"http://schemas.xmlsoap.org/ws/2005/05/identity/`

claims/givenname", "http://schemas.xmlsoap.org/`

ws/2005/05/identity/claims/surname"),`
query = ";userPrincipalName,displayName,`
givenName,sn;{0}", param = c.Value

Niezależnie od wybranej ścieżki tworzenia zaufania jednostki uzależnionej konieczne jest skonfigurowanie dodatkowych jej parametrów, które nie są dostępne za pomocą graficznego interfejsu. Należą do nich następujące opcje:

 

  • ƒƒwłączenie obsługi tokenów sieciowych JSON (JWT),
  • ƒƒwyłączenie szyfrowania oświadczeń,
  • ƒƒwłączenie automatycznej aktualizacji,
  • ƒƒwłączenie opcji generowania tokenów odświeżania OAuth dla wszystkich
  • urządzeń,
  • ƒƒudzielenie klientom dostępu do utworzonej relacji zaufania.


Czynności te należy wykonać za pomocą konsoli Windows PowerShell, korzystając z następujących poleceń:


[…]


Autor pracuje jako architekt rozwiązań IT, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"