FIM2010R2全新部署及配置(一)
由于该实验主要介绍FIM的全新安装及配置,所以关于AD的环境部署过程在此忽略;
我们知道该款产品是微软公司为了解决当今企业身份管理领域中所面临的各种问题而推出的一款高端产品。
这里我们先来简单回顾下核心基础架构优化(CoreIO)的四个阶段。
Forefront Identity Manager 2010所要关注的是身份和访问管理维度在动态化阶段中的“自动化账户管理”(对应的英文术语是Automated Account Provisioning,或者在仅讨论FIM 2010 时,会使用更简单的缩写,Auto-Provisioning。当然这个词也会被用在其他领域,比如虚拟机的Auto-Provisioning。)所以在开篇之所以称FIM 2010是一款高端产品的原因就在于此。随着企业信息化建设的不断深入,作为IT管理人员,我们会发现企业的生产环境中引入了各式各样的系统。这里以微软的产品为例来举个简单的例子。比如在一个上规模的中型企业(CONTOSO)中,我们会发现有基于Exchange 2010的邮件系统,基于Lync 2010的即时消息系统,基于SharePoint 2010的协作系统,以及为支撑这些系统运行的SQL Server 2008。然而企业管理员不久之后就会发现当新员工入职时,仅仅是开通各个系统的用户帐号就是一件非常繁琐的事,因为各个系统都提供了各自的管理工具来开启帐号,而帐号管理员不得不在各个系统管理控制台之间游走,进行手动的帐号开启工作,既费时又容易出错。
Forefront Identity Manager 2010 功能概览
Forefront Identity Manager 2010在进行产品设计时,考虑到了以下两方面的管理工作,一方面是身份(Identity)管理,另一方面是证书管理。本系列博客文章将仅包含身份管理这一块的知识点,带领大家熟悉身份管理这一块的各项功能和术语。在身份管理这一块,FIM 2010为管理员和普通用户提供了以下几方面的内容:
用户管理
组管理
自助密码重设
最终用户操作体验
用户管理
在CoreIO动态化阶段,我们通常提倡所谓的“人事驱动”(HR-driven)用户身份管理模型,也就是以人事系统的数据库作为员工信息的权威数据源。这其实是非常符合企业流程的一个模型,然而有时候某些情况会挑战这个模型。比如员工的移动电话信息,个人住址变更,姓名变更(比如港台地区,女性员工结婚之后需要添加丈夫的姓。)等等。对平时工作异常忙碌的人事专员而言,管理这些信息可能会带来的额外的负担,因此企业管理者通常希望IT基础架构管理者能提供一个系统,允许最终用户自助修改这些信息。而FIM 2010则允许管理基础架构的IT专业人士将FIM 2010的门户网站进行配置(借助Management Policy Rules,后续课程会进行详述),允许最终用户修改特定的信息。
组管理
长久以来微软一直提倡在进行权限管理时,使用组而不是单个用户来分配权限,其实这项原则本身也是一项工业标准,基于权限的访问控制(Role-based Access Control, RBAC),在各个厂商的产品中都有一定程度的体现。然而相信很多经历过Windows Server 2003时代的系统管理员都为缺乏一个对最终用户友好的组成员管理工具而感到十分痛苦。然而当微软发布各项冠以2010年份的服务器端产品之后,我们会发现简单的组管理已经出现在Exchange和SharePoint中了。
其实也难为了Exchange和SharePoint的开发人员,因为这两款产品本来就不是为身份管理而设计的。假设FIM 2010能够在强壮一点……呵呵,接下来我们就来看下FIM 2010的组管理。
FIM 2010对活动目录中的组实现了全面的支持,无论组的类型是安全组还是三种组作用域都能实现很好的支持。除此之外,FIM 2010 在它的门户站点中也已三种方式实现了组成员身份管理:
基于手动设置
基于相同经理
基于特定条件
自助密码重设
长久以来困扰很多IT系统的一个问题就是用户密码的重置,虽然通过在企业内部实现SSO可以在一定程度上降低这个问题的发生次数,但仍然避免不了长假归来之后,会出现大量员工需要重置密码的情况。企业规模越大,这个问题就会越明显,IT服务台在处理其他请求的同时,需要承受这额外的工作负担,的确会感到力不从心。
虽然在FIM 2010横空出世之前,已经有第三方产品实现了自主密码重设,但是那款产品设计目标单一,不像FIM 2010会涵盖其他身份管理领域的问题,因此我们不妨来看看FIM 2010中的自助密码重设。
首先自助密码重设需要在客户端安装FIM 2010的客户端插件,这一点其实并不意外。当然有朋友会问在大环境下的客户端部署问题。的确这是一个需要综合考虑的问题,首先在初始部署阶段,我们可以利用组策略或者SCCM进行推送。接下来需要做的就是修改客户端操作系统部署镜像。这两点是需要耗费一定的工作量,在进行项目实施的时候需要注意到。但是一旦我们部署完成后,就能享受自主密码重设带来的便利。
首先,客户端插件会如下图所示会修改登录界面,用户可以单击新增加的“Reset Password”打开自助密码重设向导:
当向导打开之后,用户需要回答管理员预先设置的“安全问题”(WIKI),而这些问题的数量和具体内容都是可以通过FIM 2010的后台管理界面进行调整
而关于如何设置安全问题,各位可以参考以下连接:
http://www.goodsecurityquestions.com/examples.htm
当回答完安全问题后,我们只需要输入符合密码复杂性策略的新密码,便能完成密码重置工作。
丰富的最终用户操作体验
FIM 2010为最终用户提供了丰富多彩的操作体验,首先我们来看下面向最终用户的基于SharePoint的门户网站。
在默认配置下,最终用户可以通过门户网站管理通讯组,个人信息及密码。同时也可以查看提交的申请有没有获得经理批准。总的来说,由于是基于SharePoint的操作,因此整体操作体验还是非常友善的。
自助密码重置插件在刚才的介绍中大家已经看到了,所以我们接下来再来看下另外一个客户端的Outlook插件。
最终用户也可以通过和Outlook集成的插件完成加入组的工作,而经理对用户的加入申请的批准工作也可以在Outlook中完成。
Rampup: Implementing Forefront Identity Manager 2010 (必读)
http://technet.microsoft.com/en-us/forefront/ff793470
Test Lab Guide: Forefront Identity Manager 2010 (必读)
http://www.microsoft.com/download/en/details.aspx?id=10269
Test Lab Guide: Managing User Identities with Forefront Identity Manager 2010(必读)
http://www.microsoft.com/download/en/details.aspx?id=26142
FIM 2010 TechNet Library
http://technet.microsoft.com/en-us/library/ee621258(WS.10).aspx
FIM 2010离我们很远么?不FIM 2010的核心功能已经在你身边了……
SharePoint 2010中的用户配置文件同步服务(UPS Service)
这里是论坛上一位朋友实现后的效果。
http://bbs.winos.cn/thread-120897-1-2.html
现在咱们开始完成部署工作
这里域控制器和证书服务器的准备应该是比较简单的。接下来是Exchange 2010服务器,这对部分人来说,可能从来没有接触过,但么大家可以按照这我之前写的文档来完成Exchange 2010 服务器的安装,包括安装SP1补丁。Exchange 2010安装完成之后可以开启一个测试帐号来验证Exchange服务器是否工作正常,包括OWA的访问及服务器证书的配置。接下来是SQL服务器的配置,由于FIM 2010需要利用SQL Server 2008中的一些新特性,因此我们需要安装SQL Server 2008,并且安装最新的Service Pack补丁包。在此我使用Windows Server 2008 R2。
接下来是SharePoint Server 2010,即使该服务器,我们也可以了解如何使用FIM 2010来实现用户邮件帐号的自动开启,但是有了这两台服务器,我们可以了解到更多的内容。虽然这两台服务器本身的安装也可以单独成篇,但是这取决于各位目前是否有精力去准备,因此这里将这两台服务器标记为可选。
环境介绍:
Domain Name:Dsgrd.com
Hostname:dsgrd-dc
Ip:192.168.220.254
Roles:dc dhcp dns ca
Hostname:dsgrd-mail
Ip:192.168.220.10
Roles:exchange2010(mailbox cas hub)
Hostname:dsgrd-mail01
Ip:192.168.220.20
Roles:domino8.5.1
Hostname:dsgrd-mail02
Ip:192.168.220.21
Roles:domino8.5.1
Hostname:dsgrd-tmg
Ip:192.168.220.1
Roles:gateway
Hostname:dsgrd-fim
Ip:192.168.220.80
Roles:fim2010r2 server
实验目的:通过fim server使得AD域用户密码更改后同步domino inotes密码
首选是我的Dsgrd-dc
邮件服务器Domino8.5.1
Domino8.5.1服务器二
Exchange2010
Fim2010 server
我们首选是安装数据库2008R2
主要确认SQL的“全文搜索(Full-Text Search)”组件是否安装
再此我选择安装SQL Server的全部功能,并且安装到D盘
使用默认实例
设置SQL的服务用户;在真实环境中建议创建单独的数据库账户
使用混合模式
数据库安装完后,我们将数据库的代理服务―启动类型―自动
数据库安装完成之后,我们接下来需要安装Sharepoint,安装完成后,我们可以打开IE,访问http://fim2010确认是否能成功访问。
基本安装即可
安装完成后,我们通过访问本地是否能正常打开sharepoint;http://localhost
Sharepoint能正常打开后,我们开始配置sharepoint,首选是打开IIS服务管理器
打开IIS7.5控制台,找到“SharePoint 3.0 Central Administration“,并单击右侧窗口中的”浏览“按钮,如图所示:
在打开的浏览器页面中点击“操作”菜单,并选择“安全性配置”处的“服务账户”,如图所示:
首先在域内创建登陆名为SPSrv的普通账户;
我为了架构规范,首选是创建FIM Services Acount的OU,然后在此创建用户
我们同时在FIM-Server计算机上IE浏览器sharepoint管理站点服务账户页面,依次选择;web应用程序池,windows share point services web application,sharepoint-80;见下图
在账户选择部分选择;可配置账户,并且输入刚才新建的FIM用户;[email protected]和密码等信息
注意;在对账户凭据信息进行保存时,系统会有两次提示信息,追个选择ok即可
接下来我们在FIM server上打开服务器的IIS管理控制台,并且找到如下图位置
或者双击打开身份 验证也行
我们将windows 身份验证功能启用
然后我们重新选择windows 身份验证, 单击-高级设置,具体见下图
将扩展保护---更改为接受
注;此操作将为之前 指定的sharepoint 服务器账户启用kerberos身份验证
在IIS管理器中选择本地计算机的计算机名名称,单击右侧窗口---服务器证书
双击打开服务器证书,单击右侧窗口的―创建证书申请,并且根据信息填写通用名称,再此我输入服务器的FQDN,具体见下
指定一个文件名对证书申请保存,单击完成证书申请创建过程
接下来,通过浏览器访问环境内的CA服务器;http://dsgrd-dc.dsgrd.com/certsrv
并且通过有效的用户进行访问
在服务器申请页面依次单击―申请证书―高级证书申请―使用64编码的CMC,将之前保存的申请信息打开粘贴到出现的页面中,并将输模板选择为;web服务器,并且单击提交,具体见图
单击下载证书,将证书保存在本地
然后,打开IIS服务器管理控制台,并且进入服务器证书申请配置页面,单击‘完成证书申请,具体见下图
打开IIS管理器中的Sharepoint-80站点,单击右边窗口的―绑定
单击-添加,添加一个绑定,具体见下图
为了保证FIM Portal只使用HTTPS的方式 进行链接,删除现有的HTTP绑定
浏览IIS服务器管理控制台---sharepoint3.0 central administrator 站点,并且―操作―备用访问映射
我们单击http://fim2010,将其更改为’’https://fim2010 单击确认保存
FIM 2010服务器部署
我们首先要创建FIM相关的服务器账户
我们在DC---计算机和用户下创建用户FIMSync的用户
因为是服务用户,所以将该用户的密码设置为:永不过期
同上我们饿创建FIMSrv和FIMMA的账户
我们登陆Exchange2010服务器,新建用户邮箱,如下图
同样为FIMSRV用户创建邮箱
配置FIM服务器账户
设置域策略,允许本地登陆用户:FIMMA
登陆FIM同步服务器,在管理工具中找到“本地安全策略―>本地策略?用户权限分配―>拒绝本地登陆”并双击,在弹出的对话框中并对FIMSync账户进行添加,并单击确定对其进行保存
双击“拒绝从网络访问这台计算机“,并将FIMSync账户添加到随后弹出的窗口中,单击确定进行保存:
双击“拒绝作为批处理作业登陆“,将FIMSync账户添加到随后弹出的窗口中,并单击确定对其进行保存:
双击“作为服务登陆”,并对FIMSync账户进行添加,如下图所示:
登陆FIM-Srv服务器,在管理工具中找到“本地安全策略―>本地策略?用户权限分配―>拒绝本地登陆”并双击,在弹出的对话框中并对FIMSrv账户进行添加,并单击确定对其进行保存:
说明:通过以上配置,可保证在FIM部署过程中系统不会报告关于安全权限方面的警告信息,同时也能保证FIM相关组件服务的安全运行。
2 部署FIM Service和FIM Portal
ü 登陆FIM-Srv服务器,运行FIM安装主页面,单击其中的“Install Service and Portal“启动FIM 服务和门户安装过程:
在安装向导的组件选择页面,使用默认选项安装所有组件,如下图所示:
说明:在选择安装FIM Portal和FIM Password Reset组件前,请确保已完成SharePoint Service 的安装和默认站点配置。
为FIM服务器指定SQL 2008数据库服务器名称以及FIM数据库名称,本文档中使用本地数据库服务,数据库名称使用默认名称,如图所示:
为FIM服务器指定Exchange服务器的FQDN,如图所示:
在证书选择页面选择自选证书,并制定名称为“FIM-Srv”的证书,单击下一步按钮:
在账户配置页面,制定为FIM服务创建的相关服务账户和邮件地址,并单击
Next,如下图所示:
为FIM服务指定FIM同步服务器,并指定FIM代理账户,单击Next,如下图所示:
注意:如图在FIM服务是在FIM同步服务之前进行安装,则FIM服务安装程序会报告如下图所示的警告提示,可单击下一步按钮继续执行安装过程:
指定FIM服务器的FQDN,FIM客户端以及FIM Portal将会通过该FQDN与FIM 服务进行通讯,如下图所示:
为FIM服务指定SharePoint站点服务的服务器地址,由于本文档环境中的SharePoint站定已使用了Https加密功能,因此将默认名称更改为使用Https加密的URL,如下图所示:
勾选权限设置页面中的所有选项,通过这些选项可由FIM安装程序自动对服务器访问权限及防火墙进行配置,如下图所示:
f
fimma
FIM服务将完成整个安装过程,此过程中不需要执行任何操作。
??在FIM服务和Portal部署完成后,可通过以下方式测试FIM Portal是否能够正常工作,在任意一台可以连接到FIM服务器的计算机上,浏览
http://FIM2010.dsgrd.com/identitymanagement,并在通过用户验证后会出现如下图所示的页面:
部署FIM同步服务
ü 登陆FIM同步服务器,本文档中该服务器计算机名为FIM-Sync,并运行FIM安装程序,选择“Install Syncronization Service”,并单击运行,如图
注意:在安装FIM同步服务前,需要确保已安装.net 3.5及其SP1补丁。
ü 在FIM组件选择页面,选择安装FIM同步服务组件,并单击下一步按钮,如下图所示:
为FIM同步服务指定数据库服务器,在本文档中数据库服务与FIM服务部署在同一服务器,因此该页面配置如下图所示:
为FIM同步服务指定服务账户,如下图所示书写格式进行书写:
使用默认组名称即可
勾选防火墙开启选项,通过此选项FIM安装程序将自动对计算机本地防火墙进行调整:
单击安装按钮启动FIM同步服务的安装:
在安装过程中安装程序会提示对FIM同步服务密钥进行备份,单击OK按钮并指定一个备份位置进行备份:
根据提示对服务器进行注销,以此完成FIM同步服务的安装。
为了保证FIM同步服务的可管理性,需要对FIM同步服务器做以下账户配置:
n 登陆FIM同步服务器,将FIMSrv账户添加到FIM同步服务器的
FIMSyncAdmins组中,这将允许FIM服务对FIM同步服务进行配置。
将FIMSrv账户添加到FIM同步服务器的FIMSyncPasswordSet组中,这将使FIM服务的密码重置功能可用。
在账户配置完成以后,对FIM服务进行重启。
部署密码修改通知服务
ü 登陆到活动目录服务器,并在cmd命令行模式下跳转到FIM安装程序Password Change Notification Service /x64 目录下,执行msiexec /I“Password Change Notification Service.msi”schemaonly=true 命令对活动目录架构进行扩展,如下图所示:
在架构扩展向导页面中,单击Next按钮,扩展程序将会自动完成活动目录架构扩展:
运行FIM安装页面,并选择“Install Password Change Notification Service”,如下图所示:
下载后直接运行安装
密码修改通知服务的安装过程不需要额外配置,可自动完成安装,如下图所示:
注意:在密码修改通知服务安装完成后,需要对活动目录服务器进行重启。
ü 在系统重启后,可检查服务管理器中的密码修改通知服务是否为正常启动状态以确定该服务是否安装成功: