ADFS

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

ADFS

Berichtdoor tdemeyer » 2 weken 3 dagen 20 minuten geleden (06 Jan 2021, 15:08)

Toevallig iemand hier die héél goed thuis is in de installatie en configuratie van ADFS ???

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 2 weken 2 dagen 22 uur geleden (06 Jan 2021, 16:30)

Toevallig wel ... beetje mijn stokpaardje :-)

didi79
Premium Member
Premium Member
Berichten: 621
Lid geworden op: 25 Jun 2007
Bedankt: 54 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: ADFS

Berichtdoor didi79 » 2 weken 2 dagen 22 uur geleden (06 Jan 2021, 16:53)

Niet héél goed, maar toch voldoende om in productie werkend te hebben...

lithion
Elite Poster
Elite Poster
Berichten: 1886
Lid geworden op: 21 Aug 2006
Bedankt: 58 keer
Uitgedeelde bedankjes: 7 keer

Re: ADFS

Berichtdoor lithion » 2 weken 2 dagen 21 uur geleden (06 Jan 2021, 18:07)

Part of the job (op server 2019). Gebruiken dit voor zowel WS-FED, SAML2 als OIDC.

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 2 weken 2 dagen 20 uur geleden (06 Jan 2021, 18:29)

Wat is Userbase toch handig :)

OK, here it goes: ADFS op 2012R2 server

Het certificaat van de website (de webpagina) waar gebruikers hun credentials ingeven was vervallen. Ik denk dus: ik vervang het certificaat dat gedefinieerd staat in "service communications" door een nieuw (wildcard deze keer, maar dat doet volgens mij niet terzake)..
Ik herstart de adfs service voor alle zekerheid..

Wat blijkt: de login pagina (/site) gebruikt blijkbaar nog steeds het oude certificaat.

Dat certificaat moet dus duidelijk nog ergens anders zitten, maar ik weet bijgod niet waar ik moet gaan zoeken...

SNAG-0003.jpg

didi79
Premium Member
Premium Member
Berichten: 621
Lid geworden op: 25 Jun 2007
Bedankt: 54 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: ADFS

Berichtdoor didi79 » 2 weken 2 dagen 20 uur geleden (06 Jan 2021, 18:46)

als je certificate module toevoegt aan mmc, doe het dan eens in context van de adfs service.
Standaard zit je certificaten te beheren op computer of user niveau

edit: heb voor mezelf op het werk een guide gemaakt van hoe cert renewal te doen, zal straks eens kijken of ik het terugvind...

fuserke
Starter Plus
Starter Plus
Berichten: 37
Lid geworden op: 09 Apr 2019
Bedankt: 2 keer
Recent bedankt: 2 keer

Re: ADFS

Berichtdoor fuserke » 2 weken 2 dagen 20 uur geleden (06 Jan 2021, 18:55)

Voila zie. Hier de stappen om een expired cert te vervangen

https://docs.microsoft.com/en-us/troubl ... unications

Ok is vr 2008 mr niet veel verschil met 2012

Edit: 2012 r2 via powershell guide
https://blog.rmilne.ca/2016/03/21/updat ... tificates/

didi79
Premium Member
Premium Member
Berichten: 621
Lid geworden op: 25 Jun 2007
Bedankt: 54 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: ADFS

Berichtdoor didi79 » 2 weken 2 dagen 20 uur geleden (06 Jan 2021, 19:10)

Mijn procedure is hierop gebaseerd: https://wolfgangontheroad.wordpress.com ... tificates/

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 2 weken 2 dagen 19 uur geleden (06 Jan 2021, 19:30)

Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.

didi79
Premium Member
Premium Member
Berichten: 621
Lid geworden op: 25 Jun 2007
Bedankt: 54 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: ADFS

Berichtdoor didi79 » 2 weken 2 dagen 19 uur geleden (06 Jan 2021, 19:58)

Sasuke schreef:Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.


Idd en eigenlijk is dat wel jammer want Windows is toch al altijd al GUI based geweest. Het gekke is een beetje dat MS nog altijd de moeite doet om een GUI te schrijven, maar dat we toch alsmaar vaker moeten teruggrijpen (al is "terug" misschien niet helemaal correct) naar powershell

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 2 weken 2 dagen 18 uur geleden (06 Jan 2021, 21:04)

Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..

cyberbozzo
Premium Member
Premium Member
Berichten: 653
Lid geworden op: 27 Sep 2007
Bedankt: 18 keer
Uitgedeelde bedankjes: 19 keer

Re: ADFS

Berichtdoor cyberbozzo » 2 weken 2 dagen 18 uur geleden (06 Jan 2021, 21:21)

Is het voor O365? Indien je dan een WAP gebruikt als frontend moet je daar ook iets op wijzigen geloof ik. Is idd een hele procedure en best via ps doen (waar je dan die thumbprint moet wijzigen). Indien het voor O365 is kan je op testconnectivity.microsoft.com een paar mooie testen runnen die bevestigen of het goed geinstalleerd is.

NickG
Elite Poster
Elite Poster
Berichten: 1548
Lid geworden op: 13 Sep 2005
Bedankt: 50 keer
Uitgedeelde bedankjes: 43 keer

Re: ADFS

Berichtdoor NickG » 2 weken 2 dagen 7 uur geleden (07 Jan 2021, 08:18)

tdemeyer schreef:Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..

Yep, de eerste keer dat ik een cert verving op ADFS via GUI ook een tijd gezocht naar wat er nu nog mis was (en uiteindelijk rechtgetrokken via PS).
Daarna telkens alles volledig in PS gedaan, eens je de cmdlets kent veel makkelijker en sneller :-)

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 2 weken 2 dagen 5 uur geleden (07 Jan 2021, 10:10)

OK, activeren van het certificaat was idd een no-brainer (thanks for the help)

Alleen lijkt het alsof ADFS geen wildcard certificaat wil gebruiken??
Cert properties geven aan dat het certifieringspath OK is, en het cert zelf ook in orde is, en toch krijg ik een melding onveilige site ??!!

SNAG-0001.jpg

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 2 weken 2 dagen 5 uur geleden (07 Jan 2021, 10:23)

ADFS kan perfect overweg met een wildcard hoor ... daar ligt het niet aan dan. ADFS Services herstart (verplicht na die powershell regeltjes)

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 2 weken 2 dagen 4 uur geleden (07 Jan 2021, 11:22)

herstart: jazeker. In powershell krijg je daaromtrent een specifieke waarschuwing...

didi79
Premium Member
Premium Member
Berichten: 621
Lid geworden op: 25 Jun 2007
Bedankt: 54 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: ADFS

Berichtdoor didi79 » 2 weken 1 dag 22 uur geleden (07 Jan 2021, 16:48)

Er is inderdaad een specialleke met wildcards, maar herinner me niet meer goed welk...
Kan het te maken hebben met niet overeenkomen van SAN en server hostname ? SAN = *.domein.com en local hostname is blabla.local
Ik weet het niet meer zeker...

Sowieso even checken of het cert wel geschikt is voor het beoogde doel (server authentication).

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 2 weken 1 dag 22 uur geleden (07 Jan 2021, 17:02)

Ik zie het al ... je hebt een SSL cert van 2 jaar gemaakt ... maar er is onlangs (in 2 stappen) besloten om de maximale validiteit van nieuwe certificaten terug te dringen tot 1 jaar. Vermoedelijk zal je browser daar nu wel over vallen.

Meer info hier: https://www.certisur.com/en/google-chro ... -one-year/

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 2 weken 2 uur 42 minuten geleden (09 Jan 2021, 12:46)

huh... Serieus?... Dan ga ik al eens moeten zoeken waar die settings in onze domein/windows CA zitten om dat aan te passen, want daar komen default 2-jarige certs uit.

We hebben ook een eigen locale "let's encrypt" compatibele server draaien voor al onze interne webservers, misschien moet ik eens kijken of we via die weg iets kunnen regelen.

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 2 weken 2 uur 13 minuten geleden (09 Jan 2021, 13:14)

Let’s Encrypt zal niet gaan want je fqdn gebruikt een niet-publieke tld. Je kan gewoon in je DC / Microsoft CA de templates aanpassen (copy template en dan niet vergeten op publish new template te doen ... nog zo een klassieker ;-) )

Succes !

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 1 week 4 dagen 6 uur geleden (12 Jan 2021, 09:27)

<off the record :)> Wij hebben onze lokale Let's encrypt draaien :)

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3819
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 223 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 82 keer
Contact:

Re: ADFS

Berichtdoor Sasuke » 1 week 4 dagen 5 uur geleden (12 Jan 2021, 09:45)

Maakt ni uit ... Lets Encrypt is toch enkel voor publieke TLD's bruikbaar ? Als het domein niet op internet gekend is (DNS) dan zal LetsEncrypt toch nooit gevalideerd geraken ? Of is dat ondertussen achterhaald ?

Update: OK, je kan LetsEncrypt voor local purposes gebruiken, maar dan moet je zelf je (local) root deployen en is het nooit bruikbaar voor externe toegang (zonder VPN). Dus ja, in die optiek zou je LetsEncrypt hiervoor kunnen gebruiken, maar dan is dat net hetzelfde als je eigen Microsoft CA gebruiken ...

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 1 week 4 dagen 4 uur geleden (12 Jan 2021, 10:31)

Wij hebben idd een lokale let's encrypt draaien die onze lokale domeinen valideert.. Dus al onze webservers worden via een ACME client voorzien van certificaten (die om de 90 dagen vervallen)

Voordeel: ik moet me niet meer bezighouden met vervallende certs...

NickG
Elite Poster
Elite Poster
Berichten: 1548
Lid geworden op: 13 Sep 2005
Bedankt: 50 keer
Uitgedeelde bedankjes: 43 keer

Re: ADFS

Berichtdoor NickG » 1 week 3 dagen 23 uur geleden (12 Jan 2021, 15:50)

Maar is dat niet vervelend? ADFS is er toch ook vooral voor federatie met anderen (klanten/SaaS providers). Als je daarvoor je eigen lokale Lets Encrypt gebruikt moeten die klanten die toch manueel gaan trusten? (net zoals met een MS CA, zoals Sasuke terecht aanhaalt).

tdemeyer
Premium Member
Premium Member
Berichten: 487
Lid geworden op: 19 Jan 2013
Locatie: Ronse
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 11 keer

Re: ADFS

Berichtdoor tdemeyer » 1 week 3 dagen 19 uur geleden (12 Jan 2021, 19:34)

Als ik een cert van onze domain ca gebruik is dat ook enkel intern gekend, maar toch authenticeren we hiermee in diverse extern draaiende systemen... Hoe heel dat ADFS gedoe in zijn werk gaat heb ik geen flauw idee...


Terug naar “Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast