Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Publikowanie dostępu do folderów roboczych

Data publikacji: 26-09-2018 Autor: Michał Gajda
SCHEMAT ARCHITEKTURY DLA...

Zasoby plikowe użytkowników nie muszą być dostępne tylko i wyłącznie w ramach wewnętrznej sieci firmowej lub za pośrednictwem połączeń VPN. Dzięki zastosowaniu integracji folderów roboczych z usługą Web Application Proxy możliwe jest uzyskiwanie bezpiecznego dostępu do własnych zasobów praktycznie z dowolnego miejsca na świecie.

 

Rozwiązanie folderów roboczych jest doskonałą alternatywą w dostarczaniu użytkownikom końcowym prywatnego zasobu sieciowego zlokalizowanego na lokalnych serwerach plikowych organizacji. Oczywiście można by stwierdzić, że uzyskiwanie dostępu do folderów domowych można zorganizować poprzez klasyczne mapowanie dysków, jednak nie w każdej sytuacji takie podejście się sprawdza. Na przykład w przypadku, gdy próbujemy uzyskać dostęp spoza sieci firmowej lub na przykład z urządzeń mobilnych, takich jak tablety czy smartfony.

W poprzednim artykule przedstawiliśmy podstawową konfigurację usługi folderów roboczych z wykorzystaniem klasycznego uwierzytelniania systemu Windows. Wspomniane rozwiązanie może być już z powodzeniem wykorzystywane jednak tylko i wyłącznie w ramach wewnętrznej infrastruktury IT. Aby możliwe było korzystanie z tej technologii spoza sieci firmowej, konieczne jest dokończenie wdrożenia poprzez integrację z dwoma kolejnymi rozwiązaniami, jakimi są Active Directory Federation Services oraz Web Application Proxy.

> INTEGRACJA Z ACTIVE DIRECTORY FEDERATION SERVICES

W celu umożliwienia dostępu zewnętrznego dla usługi folderów roboczych należy wykorzystać w ramach infrastruktury IT kilka dodatkowych usług. Cała architektura omawianego rozwiązania została zaprezentowana na schemacie.


Podstawowym elementem w całej konfiguracji jest wykorzystanie usługi Active Directory Federation Services. Dla naszego testowego wdrożenia przyjmijmy, iż wspomniana usługa pracuje już w ramach naszego środowiska, na przykład w najnowszej wersji, czyli na systemie Windows Server 2016. Konfiguracja usługi ADFS będzie więc skupiała się na odpowiednim utworzeniu i skonfigurowaniu zaufania jednostki uzależnionej (Relying Party Trust). Proces ten został przedstawiony w ramce Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych. Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych możemy również wykonać za pośrednictwem konsoli Windows PowerShell. W tym celu wystarczy posłużyć się tylko jednym poleceniem – Add-ADFSRelyingPartyTrust:

Add-ADFSRelyingPartyTrust -Name `
"WorkFolders" -Identifier `
https://windows-server-work-folders/V1 `
-AccessControlPolicyName "Permit everyone" `
-IssuanceTransformRules '@RuleTemplate = "LdapClaims"
@RuleName = "Claims from AD"
c:[Type == `
"http://schemas.microsoft.com/ws/2008/06/identity/`
claims/windowsaccountname", Issuer == `
"AD AUTHORITY"] => issue(store = "Active Directory",
types = ("http://schemas.xmlsoap.org/ws/2005/05/`
identity/claims/upn", "http://schemas.xmlsoap.org/`
ws/2005/05/identity/claims/name", `

"http://schemas.xmlsoap.org/ws/2005/05/identity/`

claims/givenname", "http://schemas.xmlsoap.org/`

ws/2005/05/identity/claims/surname"),`
query = ";userPrincipalName,displayName,`
givenName,sn;{0}", param = c.Value

Niezależnie od wybranej ścieżki tworzenia zaufania jednostki uzależnionej konieczne jest skonfigurowanie dodatkowych jej parametrów, które nie są dostępne za pomocą graficznego interfejsu. Należą do nich następujące opcje:

 

  • ƒƒwłączenie obsługi tokenów sieciowych JSON (JWT),
  • ƒƒwyłączenie szyfrowania oświadczeń,
  • ƒƒwłączenie automatycznej aktualizacji,
  • ƒƒwłączenie opcji generowania tokenów odświeżania OAuth dla wszystkich
  • urządzeń,
  • ƒƒudzielenie klientom dostępu do utworzonej relacji zaufania.


Czynności te należy wykonać za pomocą konsoli Windows PowerShell, korzystając z następujących poleceń:


[…]


Autor pracuje jako architekt rozwiązań IT, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"