ADFS

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Toevallig iemand hier die héél goed thuis is in de installatie en configuratie van ADFS ???
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Toevallig wel ... beetje mijn stokpaardje :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
didi79
Elite Poster
Elite Poster
Berichten: 1056
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Niet héél goed, maar toch voldoende om in productie werkend te hebben...
lithion
Elite Poster
Elite Poster
Berichten: 2139
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 78 keer
Recent bedankt: 1 keer

Part of the job (op server 2019). Gebruiken dit voor zowel WS-FED, SAML2 als OIDC.
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Wat is Userbase toch handig :)

OK, here it goes: ADFS op 2012R2 server

Het certificaat van de website (de webpagina) waar gebruikers hun credentials ingeven was vervallen. Ik denk dus: ik vervang het certificaat dat gedefinieerd staat in "service communications" door een nieuw (wildcard deze keer, maar dat doet volgens mij niet terzake)..
Ik herstart de adfs service voor alle zekerheid..

Wat blijkt: de login pagina (/site) gebruikt blijkbaar nog steeds het oude certificaat.

Dat certificaat moet dus duidelijk nog ergens anders zitten, maar ik weet bijgod niet waar ik moet gaan zoeken...
SNAG-0003.jpg
didi79
Elite Poster
Elite Poster
Berichten: 1056
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

als je certificate module toevoegt aan mmc, doe het dan eens in context van de adfs service.
Standaard zit je certificaten te beheren op computer of user niveau

edit: heb voor mezelf op het werk een guide gemaakt van hoe cert renewal te doen, zal straks eens kijken of ik het terugvind...
fuserke
Member
Member
Berichten: 66
Lid geworden op: 09 apr 2019, 15:05
Bedankt: 10 keer

Voila zie. Hier de stappen om een expired cert te vervangen

https://docs.microsoft.com/en-us/troubl ... unications

Ok is vr 2008 mr niet veel verschil met 2012

Edit: 2012 r2 via powershell guide
https://blog.rmilne.ca/2016/03/21/updat ... tificates/
didi79
Elite Poster
Elite Poster
Berichten: 1056
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Mijn procedure is hierop gebaseerd: https://wolfgangontheroad.wordpress.com ... tificates/
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
didi79
Elite Poster
Elite Poster
Berichten: 1056
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Sasuke schreef:Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.
Idd en eigenlijk is dat wel jammer want Windows is toch al altijd al GUI based geweest. Het gekke is een beetje dat MS nog altijd de moeite doet om een GUI te schrijven, maar dat we toch alsmaar vaker moeten teruggrijpen (al is "terug" misschien niet helemaal correct) naar powershell
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..
UBremoved9108
Elite Poster
Elite Poster
Berichten: 806
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 31 keer
Bedankt: 29 keer

Is het voor O365? Indien je dan een WAP gebruikt als frontend moet je daar ook iets op wijzigen geloof ik. Is idd een hele procedure en best via ps doen (waar je dan die thumbprint moet wijzigen). Indien het voor O365 is kan je op testconnectivity.microsoft.com een paar mooie testen runnen die bevestigen of het goed geinstalleerd is.
NickG
Elite Poster
Elite Poster
Berichten: 1637
Lid geworden op: 13 sep 2005, 10:11
Uitgedeelde bedankjes: 46 keer
Bedankt: 52 keer

tdemeyer schreef:Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..
Yep, de eerste keer dat ik een cert verving op ADFS via GUI ook een tijd gezocht naar wat er nu nog mis was (en uiteindelijk rechtgetrokken via PS).
Daarna telkens alles volledig in PS gedaan, eens je de cmdlets kent veel makkelijker en sneller :-)
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

OK, activeren van het certificaat was idd een no-brainer (thanks for the help)

Alleen lijkt het alsof ADFS geen wildcard certificaat wil gebruiken??
Cert properties geven aan dat het certifieringspath OK is, en het cert zelf ook in orde is, en toch krijg ik een melding onveilige site ??!!
SNAG-0001.jpg
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

ADFS kan perfect overweg met een wildcard hoor ... daar ligt het niet aan dan. ADFS Services herstart (verplicht na die powershell regeltjes)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

herstart: jazeker. In powershell krijg je daaromtrent een specifieke waarschuwing...
didi79
Elite Poster
Elite Poster
Berichten: 1056
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Er is inderdaad een specialleke met wildcards, maar herinner me niet meer goed welk...
Kan het te maken hebben met niet overeenkomen van SAN en server hostname ? SAN = *.domein.com en local hostname is blabla.local
Ik weet het niet meer zeker...

Sowieso even checken of het cert wel geschikt is voor het beoogde doel (server authentication).
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Ik zie het al ... je hebt een SSL cert van 2 jaar gemaakt ... maar er is onlangs (in 2 stappen) besloten om de maximale validiteit van nieuwe certificaten terug te dringen tot 1 jaar. Vermoedelijk zal je browser daar nu wel over vallen.

Meer info hier: https://www.certisur.com/en/google-chro ... -one-year/
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

huh... Serieus?... Dan ga ik al eens moeten zoeken waar die settings in onze domein/windows CA zitten om dat aan te passen, want daar komen default 2-jarige certs uit.

We hebben ook een eigen locale "let's encrypt" compatibele server draaien voor al onze interne webservers, misschien moet ik eens kijken of we via die weg iets kunnen regelen.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Let’s Encrypt zal niet gaan want je fqdn gebruikt een niet-publieke tld. Je kan gewoon in je DC / Microsoft CA de templates aanpassen (copy template en dan niet vergeten op publish new template te doen ... nog zo een klassieker ;-) )

Succes !
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

<off the record :)> Wij hebben onze lokale Let's encrypt draaien :)
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Maakt ni uit ... Lets Encrypt is toch enkel voor publieke TLD's bruikbaar ? Als het domein niet op internet gekend is (DNS) dan zal LetsEncrypt toch nooit gevalideerd geraken ? Of is dat ondertussen achterhaald ?

Update: OK, je kan LetsEncrypt voor local purposes gebruiken, maar dan moet je zelf je (local) root deployen en is het nooit bruikbaar voor externe toegang (zonder VPN). Dus ja, in die optiek zou je LetsEncrypt hiervoor kunnen gebruiken, maar dan is dat net hetzelfde als je eigen Microsoft CA gebruiken ...
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Wij hebben idd een lokale let's encrypt draaien die onze lokale domeinen valideert.. Dus al onze webservers worden via een ACME client voorzien van certificaten (die om de 90 dagen vervallen)

Voordeel: ik moet me niet meer bezighouden met vervallende certs...
NickG
Elite Poster
Elite Poster
Berichten: 1637
Lid geworden op: 13 sep 2005, 10:11
Uitgedeelde bedankjes: 46 keer
Bedankt: 52 keer

Maar is dat niet vervelend? ADFS is er toch ook vooral voor federatie met anderen (klanten/SaaS providers). Als je daarvoor je eigen lokale Lets Encrypt gebruikt moeten die klanten die toch manueel gaan trusten? (net zoals met een MS CA, zoals Sasuke terecht aanhaalt).
tdemeyer
Premium Member
Premium Member
Berichten: 736
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Als ik een cert van onze domain ca gebruik is dat ook enkel intern gekend, maar toch authenticeren we hiermee in diverse extern draaiende systemen... Hoe heel dat ADFS gedoe in zijn werk gaat heb ik geen flauw idee...
Plaats reactie

Terug naar “Software en apps”