Ejercicio: El departamento de logística dispone de varios archivos Word donde se incluye información personal de clientes. Esta

información personal es necesaria para los usuarios del departamento de finanzas, pero solo en modo lectura.

Configurar AD RMS de forma que el grupo logística tenga control total sobre sus archivos y el grupo finanzas solo tenga permiso de

lectura . No deben poder imprimir, ni editar, ni modificar ni hacer capturas de pantalla de los archivos Word de Logística.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Module 8: Implementing and Administering AD FS ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Active directory Federation Services (AD FS): AD FS es la implementacion de microsoft de un servicio de identity federation. Es un servicio de identity federation, la organización que gestiona aplicaciones y recursos, confia en otra organización externa la gestion y la validacion de credenciales. El principal uso de los servicios de federacion los encontramos en el acceso a servicios web. Hace uso de los entandares WS (Web Services), WS-*. Los servicios de federacion utilizan en sus protocolos y comunicaciones los puertos web estandar, 80 y 443, a diferencias de las relaciones de confianza tradicionales que abren muchos mas puertos.

Los usuarios entran todos como iguales y el DC que acepta los usuarios se encarga de darles permisos

Todas las comunicaciones se realizan cifradas con certificados En una federacion el DC que acepta los usuarios, acepta los claims (permisos) que tiene el usuario en su dominio La consulta de permisos (claims) la realiza el servidor de federacion al que pertenece al usuario a su DC y este se los da a su AD FS server en este punto aun no tiene un token de autenticacion. Ahora se comunican entre los AD FS servers para enviarle los Claims que le ha dado su DC. Ahora el FS donde esta el servidor de aplicaciónes le dice las condiciones y el servidor de aplicaciones le dice cuales son las condiciones que tiene que cumplir, ahora este FS se comunica con el FS que esta fuera y este pide un token a su dc con las condiciones que puso el servidor de aplicaciones, el dc crea el token y se lo da al usuario para que el usuario se lo del al servidor de aplicacione y este le deje entrar

El extremo donde estan los recursos se llama RELYING PARTY y el extremo donde estan los usuarios CLAIMS PROVIDER la relacion entre los servidores de federacion se llaman RELYING PARTY TRUST y CLAIMS PROVIDER TRUST

Anteriormente (Windows server 2008 R2), AD FS era una descarga aparte del servidor. En windows server 2012 y 2012 R2 tenemos AD FS 2.1, Que se ha integrado como un rol dentro de server manager.

El servidor AD FS siempre tiene que estar unido al dominio y el servidor Proxy AD FS (WAP web aplication proxy) OBLIGATORIAMENTE estara en grupo de trabajo por seguridad Workplace Join: Es una funcionalidad que se ejecuta sobre AD FS y permite que un usuario resgistrado en un dominio acceda a los recursos de ese dominio desde un dispositivo que no esta en el dominio (smartphone, tablet, …). Solo windows 8.1 y windows server 2012 R2 tienen soporte para workplace join. Instalacion de AD FS: El AD FS Server debe estar en el dominio. En windows server 2012 r2 no se permite instalaciones stand-alone. El web application Proxy (Federation proxy) DEBE estar en grupo de trabajo.

Certificados en AD FS: Las comunicaciones se llevan a cabo via https, por lo que necesitamos certificados para proteger estas conexiones. El certificado debe tener algunas caracteristicas especificas:

- Plantilla: Web Server - Subject: FQDN del Servidor AD FS: adfs.adatum.com -> 192.168.10.10 - Alternative Name: nombre DNS de la maquina donde esta el servidor AD FS. Lon-dc1.adatum.com - Si vamos a usar workplace join, en alternative name debemos incluir un registro CNAME llamado

Enterpriseregistration.adatum.com que apunte al servidor donde tenemos instalado el AD FS. Los usuarios NECESITAN poder acceder a la CRL. La recomendación es usar certificados emitidos por una CA publica confiable. De esta forma evitamos la instalacion y mantenimiento de una CRL (CDP) fuera de nuestra red

Configuracion en cliente de Workplace join

Configuracion de workplace join y AD FS Este registro es obligatorio para workplace join apuntando al AD FS

Creamos este host para ocultar la ip del AD FS

Tenemos que dar permisos de enroll en la plantilla de certificado web server para el AD FS

Ahora lo pedimos

Le damos los nombres del servidor ad fs tambien añadimos en dns el enterpriseregistration para workplace

Ahora ya instalamos el rol

Vamos a configurarlo

Si nos aparece este error tenemos que ejecutar el comando de abajo

Y ya nos aparece la consola

Configuracion de AD FS:

- Endpoints: objetos que usa windows communication Fundation (WCF) para las comunicaciones del servicio de federacion:

Claims provider trust yo tengo los recursos tu pones los usuarios Relying party trust tu pones los recursos y el otro los usuarios Atribute stores es donde estan guardados los usuarios 3 opciones Active Directory LDAP SQL Authentication policies aquí activamos el metodo de autentificacion y activamos el registro de dispositivos

Al final de la ventana aparece

En la pestaña multifactor definimos los usuarios que usaran autenticacion multifactor

Aquí ya configurariamos la politica por conexiones individualmente

Workplace Join: Workplace join es una nueva funcionalidad de windows server 2012 R2 y windows 8.1 que permite que un dispositivo que no esta unido al dominio, se registre temporalmente para acceder a recursos del dominio. En un futuro, estara disponible el cliente workplace join para iOS, Android, versiones anteriores de windows, … Workplace Join crea nuevos objetos en el directorio activo llamados registered devices. Estos objetos pueden autenticars en el dominio basandose en Claims y tambien (previa autorizacion del usuario) pueden ser gestionados desde el dominio. Ahora tenemos que ejecutar un comando para que se cree el contenedor donde estaran los dispositivos que no estan añadidos al dominio pero tienen acceso temporal Initialize-ADDeviceRegistration Nos pedira una cuenta gestionada

Y ahora lo activamos Enable-AdfsDeviceRegistration

Ya nos aparecen activos en server manager

Y ya nos aparece el contendor