403. ADFS 구축하기

목표

ADFS와 Domain Controller를 이용해 AWS 접속하려 한다.

ADFS 동작

<0> 구성

Public : RDGW (게이트웨이 서버)

Private : DC (Domain Controller) , ADFS

요약

1

Domain Controller에서는 그룹, 사용자 계정 생성

2

AD FS에서 도메인 가입하고, 인증 생성한다

3

AWS에서는 IAM 설정한다

<1> Public에 있는 RDGW 연결

<2> RDGW에서 Private에 있는 DC에 연결 => DC에서 그룹, 사용자 만든다.

<3> ADFS 도메인에 가입

<4> ADFS 인증 생성하기

<5> ADFS 설치

<6> ADFS와 동작하도록 IAM 설정하기

<7> AWS Trust

<1> Public에 있는 RDGW 연결

1

Public에 있는 RDGW 연결

서비스 > EC2 > RDGW 연결

. pem 키로 암호해독한다.

2

mydomain\Administrator

연결

3

Windows powershell 실행

방화벽 임시 제거

Set-NetFirewallProfile -Profile Private -Enabled False

<2> RDGW에서 Private에 있는 DC에 연결 => DC에서 그룹, 사용자 만든다.

1

RDGW에서

> 시작 > remote desktop connection(mstsc) > 도메인 컨트롤러 (10.0.0.10) > 연결

Administrator

2

시작 > Active Directory 사용자 및 컴퓨터 > mydomain.local > 새로 작성 > 그룹 > 그룹 이름

AWS-View-EC2

확인

// 그룹 이름이나 사용자 이름은 대소문자 구별한다.

// ADFS , SAML 에서 사용하므로 이름이 같아야 한다.

또는

시작 > Active Dir 친다.

멤버 > 추가 >

Administrator

이름 확인

확인

3

mydomain.local > 새로 작성 > 그룹 > 그룹 이름

AWS-View-S3

오른 마우스 > 속성 > 멤버 > 추가 >

Administrator

이름 확인

확인

4

mydomain.local > 새로 작성 > 사용자 >

First name

seo

User logon name

seo

// 로그온 시 암호 변경 체크 해제 , 나중에 점검 시 오류가 나서 우선 해제

마침

<3> ADFS의 도메인에 가입

1

RDGW 에서

remote desktop connection (mstsc) >

10.0.0.15 (ADFS 접속) >

Administrator

// 암호

2

방화벽 임시 해제

Windows PowerShell

Set-NetFirewallProfile -Profile Private -Enabled False

3

DNS를 DC로 변경

C:\Windows\System32\control.exe ncpa.cpl

dns를 DC인 10.0.0.10 으로 변경

4

ping mydomain.local

5

도메인 변경하기

systempropertiescomputername

컴퓨터 이름

adfsserver

6

change 클릭

컴퓨터 이름

adfsserver

domain으로 변경

mydomain.local

재시작

<4> AD FS 인증 생성하기

1

Windows > mstsc > ADFS접속 10.0.0.15

Administrator

암호

2

Server Manager에서 IIS 웹서버 설치

windows > Server manager > 역할 및 기능 추가 (Add roles and features) > next> next> 서버 역할 > Web Server(IIS) 체크 > next > next > next > Install

3

인증 생성

오른쪽 위 Tools > IIS Manager > adfsserver > server 인증 더블클릭

오른쪽 위 Actions > create self-signed certificate >

adfs

웹호스팅용으로 변경

ok

4

인증서 받아 두기

오른쪽 Export

C:\Users\administrator\Desktop\adfs.pfx

암호

암호

ok

5

IIS 닫기

<5> AD FS 설치

1

AD Ferderation Service 클릭 >

Server Manager에서 > 오른쪽 위 Manage > 룰과 기능 추가 > next > next > Active Directory Federation Services 체크 > next > next > Restart the destination server automatically if required 체크 > 설치

2

인증서 임포트 하기

오른쪽 위 깃발 더블 클릭 > Welcome 페이지 (Active Directory Federation Services Configurattion Wizard) > Create the first federation sever in a federation server farm 선택 > Connect to active directory domain services > change > username

mydomain\administrator

3

import 클릭

adfs 파일

4

Federation Service Display Name >

AWSADFS

5

Specify Service Account

ADFSSVC

g100!

6

// setspn관련 에러 뜰 때 Powershell에서 아래 명령어 실행

setspn -a host/localhost adfssvc

7

powershell

cd Desktop

wget https://adfsserver.mydomain.local/FederationMetadata/2007-06/FederationMetadata.xml -OutFile FederationMetadata.xml

> 다운로드한 파일 확인 FederationMetadata.xml

8

ADFS에서 개인 PC에 FederationMetadata.xml 복사 하기

<6> AD FS와 동작하도록 IAM 설정하기

1

AWS > Serivce > IAM > 자격증명 공급자 > create provider > Provider type SAML > 공급자 생성 > SAML 선택 > Provider Name

ADFS

choose file

FederationMetadata.xml

next

create

<7> AWS Trust

1

rdp > ad fs 10.0.0.15

2

Server manager > local server > properties : IE Enhanced Security Configuration ON => OFF로 변경

3

신뢰할 수 있는 대상 지정

오른쪽 위 tools > adfs management > actions > add relying part Trust > Welcome > Start > Federation metadata address

https://signin.aws.amazon.com/static/saml-metadata.xml

next > next > close

4

// SAML 응답하도록 설정한다.

Tools > AD FS management > Relying party Trusts > Action > Edit Claim Issuance Policy > Add rule >

Transform an incoming claim으로 변경 >

Claim rule name

Name ID

<8> 테스트

https://localhost/adfs/ls/IdpInitiatedSignOn.aspx

접속

advances , Processd to localhost

감사합니다.