Post

[wip] Active Directoryの構築 3 (ADFS 前編)

Posted Updated
By r74tech
9 min read

AD FS構築

0. AD FSの準備

AD FS用のアカウントと、AD FS用のサービスアカウントを作成する

  1. AD DS, AD CSの時と同じように、AD FS用のユーザーを作成する
    ここでは、adfsというユーザーを作成する
    image image image image image

  2. adfsユーザーを右クリックし、「プロパティ」をクリックして、「所属するグループ」タブをクリックする image image

  3. AD FS用のユーザーにはDomain Adminsを追加する
    参考: Install the AD FS Role Service
    image image

  4. AD FS用のサービスアカウントを作成する image image image image

1. 証明書の発行

  1. 「Windows 管理ツール」>「証明機関」をクリックする image

  2. 「証明機関」>「r74tech-ADCS-CA(CAの共通名)」>「証明書テンプレート」を右クリックし、「管理」をクリックする
    image

  3. 「証明書テンプレート」が表示されるので、「Web サーバー」を右クリックし、「テンプレートの複製」をクリックする image image

  4. 「新しいテンプレートのプロパティ」が表示されるので、「全般」タブで「テンプレート表示名」を入力する
    「テンプレート名」は表示名で自動的に入力されるため、変更する必要はない
    「有効期間」、「更新期間」は必要に応じて変更する
    image

  5. 「要求処理」タブで、「秘密キーのエクスポートを許可する」にチェックをいれる image

  6. 「セキュリティ」タブで、「追加」をクリックし、「コンピューター」に対して「登録」権限を付与する
    この時、AD FSサービスアカウントは「コンピューター」に含まれないが、使用を許可するためにはこの権限が必要である要検証
    「適用」をクリックし、テンプレートを保存する image image image image

  7. 「証明書テンプレート」を右クリックし、「新規作成」> 「発行する証明書テンプレート」をクリックする
    image

  8. 先ほど作成したテンプレートを選択し、「OK」をクリックする
    image

  9. Certlmを開く
    image

  10. Certlm.mscが立ち上がるので、左ペインの「証明書 - ローカル コンピューター」>「個人」>「証明書」を右クリックし、「すべてのタスク」>「新しい証明書の要求」をクリックする image

  11. 「証明書の要求ウィザード」が表示されるので、「次へ」をクリックする image

  12. 「証明書の登録ポリシーの選択」で「Active Directory 登録ポリシー」を選択し、「次へ」をクリックする image

  13. 「証明書の要求」で「この証明書を登録するには情報が不足しています。設定を完了するには、ここをクリックしてください。」をクリックする image

  14. 「証明書のプロパティ」が表示されるので、「サブジェクト」タブで以下の項目を入力する
    • サブジェクト名: 共通名にAD FSのカスタムドメインのFQDNを入力する: 例: adfs.adfstest01.r74tech.com
    • 別名: DNSにAD FSのカスタムドメインのFQDNを入力する: 例: adfs.adfstest01.r74tech.com
      入力が完了したら「適用」をクリックする image image image

  15. 「登録」をクリックする
    image

  16. 「証明書のインストール」の状態が「成功」になったら「完了」をクリックする image

  17. Certlmを開き、「証明書 - ローカル コンピューター」>「個人」>「証明書」に証明書が追加されていることを確認する
    追加された証明書を右クリックし、「全てのタスク」>「エクスポート」をクリックする image

  18. 「証明書のエクスポートウィザード」が表示されるので、「次へ」をクリックする image

  19. 「プライベートキーのエクスポート」で「はい、秘密キーをエクスポートします」を選択し、「次へ」をクリックする
    image

  20. 「エクスポートファイル形式」で「Personal Information Exchange - PKCS #12 (.PFX)」を選択し、「次へ」をクリックする
    image

  21. 「セキュリティ」で「パスワード」にチェックを入れ、パスワードを入力する
    image

  22. 「エクスポートファイル」で保存先を指定し、「次へ」をクリックする
    image

  23. 問題なければ「完了」をクリックする
    image

  24. 「正しくエクスポートされました」と表示されたら「完了」をクリックする
    image

  25. 同じように、「証明書 - ローカル コンピューター」>「信頼されたルート証明機関」に証明書が追加されていることを確認する
    追加された証明書を右クリックし、「全てのタスク」>「エクスポート」をクリックする
    image

  26. 「証明書のエクスポートウィザード」が表示されるので、「次へ」をクリックする image

  27. 「エクスポートファイル形式」で「DER encoded binary X.509 (.CER)」を選択し、「次へ」をクリックする image

  28. 「エクスポートファイル」で保存先を指定し、「次へ」をクリックする image

  29. 問題なければ「完了」をクリックする image

  30. 「正しくエクスポートされました」と表示されたら「完了」をクリックする
    image

1.5 証明書をADDS, ADFSにコピー

  1. 「ネットワーと共有センター」>「共有の詳細設定」>「ドメイン(現在のプロファイル)」で、ネットワーク探索、ファイル共有、プリンター共有を有効にする
    image

  2. ADDS, ADFSでエクスポートした証明書をローカルフォルダにコピーする image image image

wip
wip Active Directory
This post is licensed under CC BY-SA 4.0 by the author.