ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth

5/9/2018 ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth - slidepdf.com

http://slidepdf.com/reader/full/adfs-authentification-pour-apache-20-avec-sourceid-wsfedauth 1/17

Active Directory Federation Service :authentification pour Apache 2.0avec SourceID WsFedAuth

Microsoft Corporation

Publié : Juin 2006

Auteur : Guillaume Aubert

Objectifs de ce guide

Tout au long de ce guide, nous étudierons par un cas pratique comment mettre en

place en environnement de single-sign-on reposant sur Active Directory Federation

Services pour des serveurs applicatifs non Microsoft comme Apache 2.0. Nous

utiliserons WS-Federation for Apache 2.0 Toolkit. Ce guide mène à l’illustration des

principes d’ADFS en utilisant des applications classiques.

Pour construire cet environnement, nous supposerons que vous êtes familiers avec

Windows Server 2003 R2 et que vous disposez d’une infrastructure de test Active

Directory Federation Service pour dérouler les étapes de ce guide. Il vous sera

également nécessaire de disposer d’une distribution Linux pour supporter Apache 2.0

(nous prendrons ici pour les exemples de cette démonstration une version Debian 3.1

GNU/Linux librement téléchargeable sur le site de l’éditeur.)

Le temps nécessaire pour compléter les étapes de ce guide est estimé à environ une

heure.



Les informations contenues dans ce document, y compris les URL et autres

références de sites Web Internet, pourront faire l'objet de modifications sans préavis.

Sauf mention contraire, les sociétés, les organisations, les produits, les noms dedomaine, les adresses électroniques, les logos, les personnes, les lieux et les

événements utilisés dans les exemples sont fictifs et toute ressemblance avec des

sociétés, organisations, produits, noms de domaine, adresses électroniques, logos,

personnes, lieux et événements réels est purement fortuite et involontaire.

L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur

applicable dans son pays. Aucune partie de ce document ne peut être reproduite,

stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou

par quelque moyen que ce soit (électronique, mécanique, photocopie,

enregistrement ou autre) sans la permission expresse et écrite de Microsoft

Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de

brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété

intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent

document. Sauf stipulation expresse contraire d'un contrat de licence écrit de

Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une

licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété

intellectuelle.

© 2006 Microsoft Corporation. Tous droits réservés.

Active Directory, Microsoft, SharePoint,MS-DOS, Windows, Windows NT et Windows

Server sont soit des marques de Microsoft Corporation, soit des marques déposéesde Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.

Les noms de sociétés et de produits mentionnés dans ce document sont des

marques de leurs propriétaires respectifs.



Table des matières

Active Directory Federation Service : authentification pour Apache 2.0 avec SourceID

WsFedAuth ...............................................................................................................1

Objectifs de ce guide .............................................................................................1

Table des matières .......................................................................................................3

ADFS authentification pour Apache 2.0 avec SourceID WSFedAuth ...........................4

A propos de ce guide ................................................................................................4

Attention, ce guide n’est pas ...............................................................................4

Pré requis .............................................................................................................5

Etape 1 : Installation de l’environnement Linux ............................................................6

Installation de Debian GNU/Linux ............................................................................6

Mise à jour de votre machine ................................................................................6

Installation d’Apache 2.0 ......................................................................................7

Configuration réseau .............................................................................................7

Paramétrage du nom de la machine ......................................................................8

Paramétrage de la configuration IP ......................................................................8

Paramétrage des informations de résolution de noms ..........................................9

Installation du module Apache WSFedAuth ..............................................................9

Installation des librairies ........................................................................................9

Compilation du module Apache WSFedAuth .......................................................10

Création et importation des certificats .....................................................................11

Création du certificat serveur pour ws0.treyresearch.net..................................... 11

Etape 2 : Configuration de WSFedAuth .....................................................................13

Edition du fichier de configuration ...........................................................................13

Redémarrage du serveur Apache ..........................................................................15

Etape 3 : Configuration du serveur de ressource ADFS .............................................15

Ajout du serveur web dans le DNS .........................................................................15

Configurer le serveur de fédération ressource (Trey Research) ............................16Ajouter et configurer l’application web .................................................................16



ADFS authentification pour Apache 2.0avec SourceID WSFedAuth

A propos de ce guideCe guide vous permettra de construire une infrastructure de démonstration pour

évaluer les capacités d’authentification de ADFS en environnement non Microsoft.

Il vous permet d’établir un environnement single-sign-on utilisant les principes de

délégation d’authentification de ADFS. Il vous guidera dans l’installation descomposants logiciels et le paramétrage de l’environnement.

Ce guide suppose que vous êtes familiers avec ADFS ainsi que l’environnement

d’évaluation “ADFS Pas-à-pas” disponible également sur le site de Microsoft :

http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-

9BBD-A103B9F27654&displaylang=fr

Pour toute référence concernant ADFS, veuillez consulter notre site :

http://www.microsoft.com/france/windows/windowsserver2003/R2/identite.mspx

Attention, ce guide n’est pas

• Un guide de référence constituant les meilleures pratiques pour mettre en

place un environnement de production ADFS. Il permet uniquement d’illustrer

dans un environnement de test, les possibilités d’interopérabilité de ADFS

utilisant les tickets SAML.

Pour plus d’informations concernant les meilleures pratiques de déploiement et

de gestion de ADFS, veuillez vous référer aux livres blancs suivants disponibles

également sur le site Internet de Microsoft Windows Server 2003 R2 Roadmap.

• Un guide pour installer et configurer les services de certificats pour ADFS.

Pour plus d’informations à propos des services de certificats dans Windows 2003

Server, veuillez vous référer aux livres blancs suivants disponibles également sur

le site Internet de Microsoft Public Key Infrastructure for Windows Server 2003.

• Un guide pour installer un proxy de fédération de services.

http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-9BBD-A103B9F27654&displaylang=fr



http://go.microsoft.com/fwlink/?LinkId=51166










Pré requis

Pour mener à bien ce laboratoire, vous aurez besoin

• De l’environnement d’évaluation « ADFS Pas à pas » (réalisable grâce au

document http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-

A82F-4428-9BBD-A103B9F27654&displaylang=fr )

• D’une distribution Debian GNU/Linux (http://www.debian.org)

• D’une connexion internet pour télécharger les composants Apache ainsi que

le kit SourceID WS-Federation (http://www.sourceid.org)




http://www.debian.org/

http://www.sourceid.org/







Etape 1 : Installation del’environnement Linux

La première étape consiste à la mise en place du serveur Web.

Pour les besoins de cette démonstration nous utiliserons une distribution Debian

GNU/Linux 3.1 qu’il vous est possible de télécharger depuis l’adresse de son éditeur.

(http://www.debian.org).

Installation de Debian GNU/LinuxLe but de guide n’est pas de décrire l’installation d’une distribution Linux, nous

utiliserons pour cet atelier l’installation minimale proposée par la version stable de

Debian.

Mise à jour de votre machine

Il est de bon usage de mettre à jour la distribution que vous venez d’installer :

Important

Si vous êtes connectés à Internet via un proxy, vous devrez d’abord spécifier

celui-ci au système en utilisant les instructions suivantes :

export http_proxy=http://myproxyadress:myproxyport

L’utilitaire de gestion de paquets apt permet de gérer les installations pour la

distribution Debian; pour effectuer les mises à jour il vous suffit de taper dans la

console :

apt-get update

Note

Cette commande permet de mettre à jour la liste des paquets qui peuvent

être installés sur le système.

apt-get upgrade

Note

Cette commande met à jour les paquets.





Vous devrez ensuite suivre les instructions de mise à jour.

Installation d’Apache 2.0

Dans ce guide, nous utilisons les paquets Apache fournis par Debian en utilisant le

gestionnaire d’installation. Encore une fois, il ne s’agit nullement des meilleures

pratiques en termes de sécurité mais cela sera suffisant pour notre environnement

d’évaluation. Il vous est par-ailleurs possible d’utiliser des versions plus récentes

d’Apache 2.0 ou de compiler votre propre version. Il vous appartiendra alors

d’assurer les dépendances associées et la présence du module SSL.

Lancez l’installation de vim (un éditeur de texte), de Apache ainsi que les fichiers

nécessaires à la compilation de module Apache (apache2-threaded-dev), à l’aide

des instructions suivantes (en tant qu’utilisateur root) :

apt-get install vim

apt-get install apache2

apt-get install apache2-threaded-dev

Une fois l’installation achevée, le service sera automatiquement démarré.

Les fichiers de configuration sont localisés dans le répertoire : /etc/apache2

Les fichiers de journaux sont eux localisés dans le répertoire : /var/log/apache2

Configuration réseau

Nous appellerons notre serveur de démonstration ws0; il s’insérera dans notre

architecture ADFS treyresearch.net, son nom de machine pleinement qualifié sera

donc ws0.treyresearch.net. Le tableau suivant vous permet de suivre les

configurations réseau des différentes machines de cet atelier.

Nom de la machine Rôle ADFS OS Paramètres IP Paramètres

DNS

client.adatum.com Client Windows XP

Service

Pack 2 (SP2)

Adresse IP :

172.16.101.51

Masque de

sous-réseau :

255.255.255.0

172.16.101.50



Nom de la machine Rôle ADFS OS Paramètres IP Paramètres

DNS

ws0.treyresearch.net Serveur

Web

Debian

GNU/Linux

3.1 avec

Apache 2.0

Adresse IP :

172.16.101.54

Masque de

sous-réseau :

255.255.255.0

172.16.101.49

account.adatum.com Serveur de

fédération

et

contrôleur de domaine

Windows

Server 2003

R2, Enterprise

Edition

Adresse IP :

172.16.101.50

Masque de

sous-réseau :

255.255.255.0

172.16.101.50

resource.treyresearch.net Serveur de

fédération

et

contrôleur

de domaine

Windows

Server 2003

R2, Enterprise

Edition

Adresse IP :

172.16.101.49

Masque de

sous-réseau :

255.255.255.0

172.16.101.49

Paramétrage du nom de la machine

Pour définir le nom réseau de la machine

1. Editer le fichier /etc/hostname (en tant qu’utilisateur root)

en tapant vim /etc/hostname

2. Dans les paramètres de nom de machine, spécifier

ws0.treyresearch.net

3. Renseigner ensuite le fichier /etc/hosts (en tant qu’utilisateur root)

en tapant vim /etc/hosts et changer localhost.localdomain par

ws0.treyresearch.net

Paramétrage de la configuration IP

Pour définir la configuration IP de la machine

1. Editer le fichier /etc/network/interfaces (en tant qu’utilisateur root)



en tapant vim /etc/network/interfaces

2. Et définir

auto eth0

iface eth0 inet static

address 172.16.101.54

netmask 255.255.255.0

gateway 172.16.101.1

Paramétrage des informations de résolution de noms

Pour définir les informations de résolution de noms

1. Editer le fichier /etc/resolv.conf (en tant qu’utilisateur root)

en tapant vim /etc/resolv.conf

2. Et ajouter l’entrée suivante pour pointer vers le serveur DNS de

l’infrastructure

nameserver 172.16.101.49

Installation du module Apache WSFedAuthSourceID fournit sur son site Web les sources au format ZIP pour les environnements

Windows/Linux. Il vous est possible de vous les procurer sur le site web de l’éditeur à

l’adresse suivant : http://www.sourceid.org

Pour compiler le module Apache nous devons d’abord installer les librairies

nécessaires à WS-Federation.

Installation des librairies

Voici la liste des librairies nécessaire à la compilation du module Apache :

• Libxml2,

• The Apache Xalan Project ,

• Xerces,

• libapreq2.


http://xmlsoft.org/

http://xmlsoft.org/

http://xalan.apache.org/


http://xerces.apache.org/

http://httpd.apache.org/apreq/docs/libapreq2


http://xmlsoft.org/


http://xerces.apache.org/

http://httpd.apache.org/apreq/docs/libapreq2



Note

Pour le moment, le paquet Debian libapreq2 n’est disponible que dans la

version testing. Pour installer cette librairie, il faut ajouter les sourcestesting dans le fichier /etc/apt/source.list.

• XML Security Library.

Note

Le paquet Debian correspondant à la librairie XML Security n’est pas

disponible pour le moment. Il est donc nécessaire de le télécharger et de

l’installer manuellement.

Pour installer les libraires (en tant qu’utilisateur root)

1. apt-get install libxml2-dev.

2. apt-get install libxalan18-dev.

3. apt-get install libxerces25-dev, (automatiquement installé par dépendance).

4. apt-get install libapreq2-dev.

Téléchargement et installation de la librairie XML Security

Télécharger la librairie à l’adresse http://xml.apache.org/security/dist/c-library/.

Pour installer la librairie XML Security

1. tar zxvf xml-security-c.x.x.x.tar.gz –C /tmp/, (où x.x.x est la version)

2. cd /tmp/xml-security-c-x.x.x/src/

3. ./configure --prefix=/usr .

4. make.

5. make install (en tant qu’utilisateur root).

6. make clean

Compilation du module Apache WSFedAuth

Pour compiler et installer le module Apache WSFedAuth

1. apt-get install unzip, (en tant qu’utilisateur root)

2. unzip WS-Federation_for_Apache_2.0_Toolkit_1.0_Beta.zip –d /tmp/

3. cd /tmp/WS-Federation\ for\ Apache\ 2.0\ Toolkit\ 1.0\ Beta/src/

http://xml.apache.org/security/


http://xml.apache.org/security/dist/c-library/


http://xml.apache.org/security/dist/c-library/



4. gcc -I/usr/include -I/usr/include/apreq2 -I/usr/include/libxml2

-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c validate_rstr.cpp


-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c parse_rstr.c


-I/usr/include/apache2 -I/usr/include/apr-0 -g -O2 -c mod_auth_adfs.c

7. /bin/sh ./libtool --mode=link g++ -g -O2 -o mod_auth_adfs.la -rpath

/usr/local/lib -module validate_rstr.lo parse_rstr.lo mod_auth_adfs.lo

-lxerces-c -lxml-security-c -lxml2 -lssl -lapreq2

8. apxs2 –i mod_auth_adfs.la

Création et importation des certificatsIl est possible d’utiliser des certificats auto-signés ou de requêter des certificats

auprès de l’autorité de certification du serveur de fédération du royaume auquel

appartient le serveur web (treyresearch.net dans l’exemple « ADFS Pas à pas »).

Création du certificat serveur pour ws0.treyresearch.net

Nous pouvons utiliser OpenSSL pour générer nos certificats auto signés.

Générons une clé:

openssl genrsa -des3 -out /etc/apache2/ssl/ws0.key 1024

Générons le certificat

openssl req -new -x509 -days 365 -key ws0.key -out ws0.crt

openssl rsa -in ws0.key -out ws0.key

Créer ensuite le fichier de configuration d’Apache ws0 dans le répertoire /etc/apache2/sites-avalaible/

ws0

NameVirtualHost *<VirtualHost *>

ServerName ws0.treyresearch.netServerAdmin [email protected] On#SSLCertificateFile /etc/apache2/ssl/ws0.pemSSLCertificateKeyFile /etc/apache2/ssl/ws0.key



SSLCertificateFile /etc/apache2/ssl/ws0.crt

DocumentRoot /var/www

<Directory />Options FollowSymLinksAllowOverride None

</Directory><Directory /var/www/>

Options Indexes FollowSymLinks MultiViewsAllowOverride NoneOrder allow,denyallow from all

</Directory>

ErrorLog /var/log/apache2/error.log

LogLevel warn

CustomLog /var/log/apache2/access.log combinedServerSignature On

</VirtualHost>

Il est également possible d’importer un certificat au format PFX généré sur une des

machines de l’environnement Windows Server ADFS Pas à pas en utilisant la

commande :

openssl pkcs12 –in ws0.pfx –out ws0.pem –nodesIl nous faudra alors modifier en conséquence le fichier ws0.

ws0

SSLCertificateFile /etc/apache2/ssl/ws0.pem#SSLCertificateKeyFile /etc/apache2/ssl/ws0.key#SSLCertificateFile /etc/apache2/ssl/ws0.crt

Nous activons le site ws0 et désactivons le site par défaut.

Pour activer le site ws0

1. a2ensite ws02. a2dissite 000-default

Nous souhaitons que le serveur Apache n’écoute pas sur le port 80, afin de ne

répondre qu’aux requêtes https.



Pour écouter sur le port 443

1. vim /etc/apache2/ports.conf

2. remplacer 80 par 443

Notre serveur web est maintenant prêt.

Etape 2 : Configuration de WSFedAuth

Maintenant que nous avons configuré l’environnement de base : serveur web, et

certificats, il nous faut configurer le module Apache pour l’environnement ADFS.

Edition du fichier de configurationD’une manière générale, pour configurer un module Apache, il suffit d’éditer le fichier

de configuration du module ( /etc/apache2/mods-avaible/auth_adfs.conf ).

Pour configurer le module (en tant qu’utilisateur root)

1. Editere le fichier /etc/apache2/mods-avaible/auth_adfs.load

vim /etc/apache2/mods-avaible/auth_adfs.load

2. Et définir

LoadModuleauth_adfs_module/usr/lib/apache2/modules/mod_auth_adfs.so

3. Editer le fichier /etc/apache2/mods-avaible/auth_adfs.conf

vim /etc/apache2/mods-avaible/auth_adfs.conf

4. Et définir

# Timers for the Auth tokenWSFedAuthTokenRenewalTimer 60WSFedAuthTokenInactivityTimer 1500WSFedAuthTokenSessionTimer 3000

# Specify the domain for the cookie containing the Auth tokenWSFedAuthCookieDomain ws0.treyresearch.net

# Specify the path for the cookie containing the Auth tokenWSFedAuthCookiePath /

# If set to "yes" the cookie is only sent while using SSLWSFedAuthCookieSecure Yes

# Specify the URL for the ADFS Federation Service here, for e.g.,#https://<ADFS_FEDERATION_SERVER>/adfs/fs/FederationServerService.asmx#where <ADFS_FEDERATION_SERVER> is the hostname for the ADFS



WSFedAuthSTSURL https://resource.treyresearch.net/adfs/ls/

# The URL where the module is expecting the RSTR from ADFS.

WSFedAuthRstrReply /rstrreply

#WSFedAuthFailureURL /authfailure.html#WSFedAuthSTSFailureURL /stsauthfailure.html

# URL to initiate signout from the moduleWSFedAuthSignOut /signout

# Specify the URL for the ADFS Federation Service for Logout here, for e.g.,#https://<ADFS_FEDERATION_SERVER>/adfs/fs/FederationServerService.asmx#where <ADFS_FEDERATION_SERVER> is the hostname for the ADFSWSFedAuthSTSSignOutURL https://resource.treyresearch.net/adfs/ls/

# URL where ADFS sends the cleanup requestWSFedAuthSignOutCleanup /cleanup

#WSFedAuthSignOutFailureURL /signoutfailure.html#WSFedAuthSignOutCompleteURL /signoutcomplete.html

WSFedAuthTokenPassphrase 67vjdGnkigt53fuS698gvcx@431flbx9XSlo4FcnWSFedAuthCertFile /etc/apache2/ssl/resource_signing.cer

# Hostname and port where Apache Server is installedWSFedAuthRealm https://ws0.treyresearch.net

<Directory /protected-resources/>

AuthType WSFedAuth</Directory> <Location /protected-resources/>AuthType WSFedAuth

</Location>

Dans ce fichier de configuration, nous déclarons l’url pour joindre le serveur defédération du royaume ressource ADFS :WSFedAuthSTSURL https://resource.treyresearch.net/adfs/ls/.

Nous déclarons ensuite les répertoires ainsi que les droits requis pour y accéder, à

l’aide des directives < Directory> et <Location>; ici le répertoire protégé estprotected-resources.

Nous créons la ressource à protéger dans le répertoire racine du site web( /var/www/).

Pour créer la ressource à protéger (en tant qu’utilisateur root)

1. mkdir /var/www/protected-resources

2. cp /tmp/WS-Federation\ for\ Apache\ 2.0\ Toolkit\ 1.0\

Beta/dist/htdocs/prot/prot.html /var/www/protected-



resources/index.html

3. chown -R root:root /var/www/protected-resources

Redémarrage du serveur ApacheUne fois ces changements effectués, il est nécessaire d’activer le module et de

redémarrer le serveur Apache.

Pour activer le module et redémarrer Apache (en tant qu’utilisateur root)

1. a2enmod auth_adfs

2. apache2ctl restart

Pour tester que le serveur à bien redémarrer nous pouvons tester :

• wget https://ws0.treyresearch.net

Et nous assurer que nous avons bien une réponse de type HTTP 200.

Surveiller les logs

Pour s’assurer que tout fonctionne correctement et dépanner les services en

cas de problèmes, les fichiers de logs sont situés dans le répertoire :

/var/log/httpd/

Etape 3 : Configuration du serveur deressource ADFS

Une fois les étapes précédentes complétées, paramétrons les services de fédération

côté ressource (treyresearch.net) et côté compte (account). Les paramètres de

fédération entre les serveurs ressource et compte sont ceux donnés dans l’atelier

« ADFS Pas à pas ». Voyons maintenant comment y ajouter notre serveur Web

Apache pour tirer partie de Active Directory Federation Service.

Ajout du serveur web dans le DNSLa première chose à faire pour que nos machines de laboratoire aient accès au

serveur est de renseigner le DNS de l’architecture.

Créer une entrée statique dans le DNS

1. Cliquer sur Demarrer , se diriger sur outils administratifs et cliquer sur



DNS

2. Dans la zone de forward treyresearch.net, ajouter une entrée A

3. Entrer ws0 (pour obtenir ws0.treyresearch.net) et l’adresse IP

172.16.101.54

Configurer le serveur de fédérationressource (Trey Research)

Ajouter et configurer l’application web

SourceID fournit un exemple d’application web.

• Une application traditionnelle (non claims-aware), utilisant les mécanismes

de sécurité Apache (protected-resources).

Il nous reste maintenant à ajouter et à configurer cette application dans la console

d’administration de Active Directory Federation Services.

Ajout d’applications pour ADFS

Pour ajouter des applications

1. Dans le menu Start, cliquer sur All Programs, Administrative Tools, etcliquer sur Active Directory Federation Services.

2. Double cliquer sur Federation Service, double cliquer sur Trust Policy,

double cliquer sur My Organization, clique droit sur Applications, New,

Application.

3. A l’écran de bienvenue de l’assistant cliquer sur Next.

4. A l’écran Application Type, cliquer sur Windows NT token-based

application, puis Next.

5. A l'écran Application Details, dans Application display name, taper

ADFS Apache WSFedAuth.

6. Dans Application URL, taper https://ws0.treyresearch.net/rstrreply

puis cliquer sur Next.

7. A l’écran Generating the Accepted Identity Claims page, verifier que

User principal name (UPN) est sélectionné et cliquer sur Next.

8. A l’écran Enable this Application, vérifier que Enable this application

est sélectionnée, et cliquer sur Next.

9. A l’écran Completing the Add Application Wizard, cliquer Finish.



Tester l’accès au site Trey Research

Nous pouvons maintenant tester la configuration. Pour se faire nous utilisons

l’ordinateur Client. On ouvre le navigateur Windows à l’adresse

https://ws0.treyresearch.net. Il est possible que le navigateur vous demande de

choisir votre royaume (home realm), sélectionner A. Adatum et cliquer sur Submit. A

partir de ce moment, le site Trey Research va s’afficher.

https://ws0.treyresearch.net/

https://ws0.treyresearch.net/

Documents

ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth