1. 준비사항
1-1 lets_encrypt 인증서 생성
- 반드시 2048bit, rsa 암호화이어야 함 ( Ubuntu에서 default로 rsa, 2048로 생성함 )
sudo apt install -y letsencryptsudo certbot certonly --rsa-key-size 2048 --manual --preferred-challenges dns -d "*.ddimtech.click"
....
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/ddimtech.click/fullchain.pem
Key is saved at: /etc/letsencrypt/live/ddimtech.click/privkey.pem
This certificate expires on 2024-09-23.- Route 53에 acme_challenge 레코드에 값 작성
cd /etc/letsencrypt/live/ddimtech.clickls /etc/letsencrypt/live/ddimtech.click
fullchain.pem # intermediate + cert.pem 합친 fullchain 인증서
chain.pem # intermediate 인증서 (root 인증서 역할)
cert.pem # 인증서
privkey.pem # 키- pem -> pfx 변환
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain.pfx -certfile chain.pemEnter Export Password:
Verifying - Enter Export Password:pfx 변환시 패스워드 입력
1-2 Window Adminstrator Password 변경
- Powershell 에서 실행
net user Administrator "<새로운 패스워드>"1-3 Computer name, Ethernet 설정
- computer name 검색 - Rename this PC (advanced)
- Ethernet 검색 - Change adapter options - Properties - TCP/IPv4 properties - Use the following IP Address 및 Use the following DNS server addresses
command 터미널에서 ipconfig 활용
- Use the following IP address 입력
- IP address : 내 IP 입력
- subnet mask
- Default gateway
- Use the following DNS server addresses
- Preferred DNS server : 내 IP 입력
2. ADDS, IIS, DNS서버 설치
- Server Manager - add roles and features - ADDS, DNS Server, IIS 설치
ADDS Configure Wizard
- Promote this server to a domain controller
- Add a new forest 선택 - 인증서의 Root domain name 입럭 ( abc.ddimtech.click 이면 ddimtech.click )
- 복구용 DSRM password 입력
3. ADFS 설치
- Server Manager - add roles and features - ADFS 설치
ADFS Configure wizard
- Create the first federation server in federation server farm 선택
- pfx 인증서 import
Federation Service Name: ADFS 서버의 hostname 임의 작성
- Use an exisiting domain user account or group Managed Service Account - Select - Administrator 선택 및 Password 입력
- 설치 완료
4. 접속
- adfs 서버에서
https://localhost/adfs/ls/idpinitiatedsignon.aspx로 접속- DNS 서버 주소가 adfs 서버인 클라이언트 서버에서는
https://<adfs hostname>/adfs/ls/idpinitiatedsignon.aspx로 접속
- DNS 서버 주소가 adfs 서버인 클라이언트 서버에서는
- 처음에 sign in을 할 수 없다는 안내가 나올 것
- adfs 서버 powershell에서 아래 커맨드 실행
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true5. 연동
5-0 DNS 설정
- DNS 서버
- TFE NLB - CNAME 추가
- adfs 서버 - A 추가
- PC timezone: UTC+09:00 Seoul 설정
-
TFE 서버
docker-compose.yaml에 다음 값 추가
no_proxy: "adfs1.ddimtech.click" ... TZ: "Asia/Seoul" # ADFS 서버와 맞추기 ... extra_hosts: - "adfs1.ddimtech.click:10.11.1.98"
5-1 ADFS 설정
Endpoint
Active Directory Federation Service management - Service - Endpoint- Type :
SAML 2.0 / WS-Fedaration찾기 - URL PATH 메모 - 기본값:
/adfs/ls/
Certificate
Active Directory Federation Service management - Service - Certificates- Token-Signing 인증서 base64 인코딩값으로 다운로드
Claim Rule
Active Directory Federation Service management - Relying Party TrustAdd Relying Party TrustFederation metadata address:https://<TFE HOSTNAME>/users/saml/metadata입력- DNS 에
TFE_HOSTNAME이 NLB address 로 CNAME 추가 필요 - Establish Trust SSL/TLS .... 에러시 TFE서버의 CA 인증서를
certmgr.msc에 Trusted Root Certficiate 에 Impot 신뢰 등록 필요
- DNS 에
- User rule 생성
- Email Address를 LDAP으로 사용하는 Rule
- Email Address를 ID로 사용하는 Rule
- Group Rule (Admin Group 설정)
- User's Group: admin 권한을 줄 그룹 선택
- Outgoing claim type : Memberof >> Terraform - Team Atrribute Name과 Sync할 예정
- Outgoing claim value : site-admins >> Terraform - Site admin roler과 Sync할 예정
참고: AD user는 Claim rule에 따라 Email 설정, 그룹에 유저 추가 필요
5-2. Terraform 설정
-
https://mwtfe.ddimtech.click/app/admin/saml접속 -
Enable SAML SSO
-
Identity Provider Settings
- Single Sing-On URL :
https://<ADFS HOSTNAME>/<URL PATH> - Single Log-out URL :
https://<ADFS HOSTNAME>/<URL Path>?wa=wsignout1.0 - idp certficate : 다운로드한 Token-Signing 인증서 값 입력
- Single Sing-On URL :
-
Team management 설정 - Group Claim Rule과 연동
- Group Claim Role과 Sync하여 AD의 TFE_ADMIN 그룹에 있는 유저는 가입시 Org부터 생성하는 Admin 권한을 갖게된다
6. AD Group - TFE Teams 매핑
Terraform Teams의 SSO Team ID 와 ADFS의 Claim rule Outgoing claim value를 일치시키는게 핵심
로그인 확인
TrobuleShooting
-
ADFS - TFE Metadata 연결에 Establish Trusted SSL/TLS Error
- TFE Root 인증서 신뢰 등록
-
ADFS - TFE Metadata 연결 시
The request aborteds : Could not create SSL/TLS Secure Channel에러- TFE 서버의 CA 값에 ADFS 서버의 CA 값을 합쳐서 TFE 서버를 올려야함
- NLB를 통한 ACM의 경우 공인인증서의 역할을 해서 필요 없으나, 사설인증서로 구축한 TFE에 직접연결하는 경우, 직접적인 인증서 신뢰가 필요
-
Terraform SAML 로그인 시,
SSO login fails with "Current time is earlier than NotBefore condition UTC -1s에러- terraform 서버의 Timezone, ADFS서버의 Timezone 일치시키기
-
ADFS Configure시
ID 8025 Parameter name:value Error- Import한 인증서의 Key 알고리즘이 RSA, Key 비트수가 2048 인지 확인
openssl x509 -text -in <인증서> ... Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) ...
-
ADFS서버 구축단계에서 인증서 import시
this file is invalid for use as following personal information exchange- 인증서를 nginx같은 웹서버에서 curl, wget 등으로 가져오면 문제가 생기는듯
- 인증서 파일을 이메일로 보내 adfs 서버 PC에서 직접 다운로드 받아서 해결
