Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


20.12.2018

Większa moc

QNAP Mustang-200
20.12.2018

Nowa era Wi-Fi

NETGEAR Nighthawk AX8
20.12.2018

Szybkie skanowanie

Brother ADS-1700W i ADS-1200
06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X

Publikowanie dostępu do folderów roboczych

Data publikacji: 26-09-2018 Autor: Michał Gajda
SCHEMAT ARCHITEKTURY DLA...

Zasoby plikowe użytkowników nie muszą być dostępne tylko i wyłącznie w ramach wewnętrznej sieci firmowej lub za pośrednictwem połączeń VPN. Dzięki zastosowaniu integracji folderów roboczych z usługą Web Application Proxy możliwe jest uzyskiwanie bezpiecznego dostępu do własnych zasobów praktycznie z dowolnego miejsca na świecie.

 

Rozwiązanie folderów roboczych jest doskonałą alternatywą w dostarczaniu użytkownikom końcowym prywatnego zasobu sieciowego zlokalizowanego na lokalnych serwerach plikowych organizacji. Oczywiście można by stwierdzić, że uzyskiwanie dostępu do folderów domowych można zorganizować poprzez klasyczne mapowanie dysków, jednak nie w każdej sytuacji takie podejście się sprawdza. Na przykład w przypadku, gdy próbujemy uzyskać dostęp spoza sieci firmowej lub na przykład z urządzeń mobilnych, takich jak tablety czy smartfony.

W poprzednim artykule przedstawiliśmy podstawową konfigurację usługi folderów roboczych z wykorzystaniem klasycznego uwierzytelniania systemu Windows. Wspomniane rozwiązanie może być już z powodzeniem wykorzystywane jednak tylko i wyłącznie w ramach wewnętrznej infrastruktury IT. Aby możliwe było korzystanie z tej technologii spoza sieci firmowej, konieczne jest dokończenie wdrożenia poprzez integrację z dwoma kolejnymi rozwiązaniami, jakimi są Active Directory Federation Services oraz Web Application Proxy.

> INTEGRACJA Z ACTIVE DIRECTORY FEDERATION SERVICES

W celu umożliwienia dostępu zewnętrznego dla usługi folderów roboczych należy wykorzystać w ramach infrastruktury IT kilka dodatkowych usług. Cała architektura omawianego rozwiązania została zaprezentowana na schemacie.


Podstawowym elementem w całej konfiguracji jest wykorzystanie usługi Active Directory Federation Services. Dla naszego testowego wdrożenia przyjmijmy, iż wspomniana usługa pracuje już w ramach naszego środowiska, na przykład w najnowszej wersji, czyli na systemie Windows Server 2016. Konfiguracja usługi ADFS będzie więc skupiała się na odpowiednim utworzeniu i skonfigurowaniu zaufania jednostki uzależnionej (Relying Party Trust). Proces ten został przedstawiony w ramce Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych. Konfigurowanie zaufania jednostki uzależnionej dla folderów roboczych możemy również wykonać za pośrednictwem konsoli Windows PowerShell. W tym celu wystarczy posłużyć się tylko jednym poleceniem – Add-ADFSRelyingPartyTrust:

Add-ADFSRelyingPartyTrust -Name `
"WorkFolders" -Identifier `
https://windows-server-work-folders/V1 `
-AccessControlPolicyName "Permit everyone" `
-IssuanceTransformRules '@RuleTemplate = "LdapClaims"
@RuleName = "Claims from AD"
c:[Type == `
"http://schemas.microsoft.com/ws/2008/06/identity/`
claims/windowsaccountname", Issuer == `
"AD AUTHORITY"] => issue(store = "Active Directory",
types = ("http://schemas.xmlsoap.org/ws/2005/05/`
identity/claims/upn", "http://schemas.xmlsoap.org/`
ws/2005/05/identity/claims/name", `

"http://schemas.xmlsoap.org/ws/2005/05/identity/`

claims/givenname", "http://schemas.xmlsoap.org/`

ws/2005/05/identity/claims/surname"),`
query = ";userPrincipalName,displayName,`
givenName,sn;{0}", param = c.Value

Niezależnie od wybranej ścieżki tworzenia zaufania jednostki uzależnionej konieczne jest skonfigurowanie dodatkowych jej parametrów, które nie są dostępne za pomocą graficznego interfejsu. Należą do nich następujące opcje:

 

  • ƒƒwłączenie obsługi tokenów sieciowych JSON (JWT),
  • ƒƒwyłączenie szyfrowania oświadczeń,
  • ƒƒwłączenie automatycznej aktualizacji,
  • ƒƒwłączenie opcji generowania tokenów odświeżania OAuth dla wszystkich
  • urządzeń,
  • ƒƒudzielenie klientom dostępu do utworzonej relacji zaufania.


Czynności te należy wykonać za pomocą konsoli Windows PowerShell, korzystając z następujących poleceń:


[…]


Autor pracuje jako architekt rozwiązań IT, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"