23 April 2013 ADFS, Auth, DevOps, HowTo Robert Muehsig

Ich hatte mich recht lange mti dem Thema ADFS 2.0 (“Active Directory Federation Services”) beschäftigt und da kam die recht einfache Frage auf: Wie stelle ich fest ob die Verbindung zwischen ADFS und AD “funktioniert”? Hier eine simple Variante es zu testen…

Was ist ein ADFS überhaupt?

Wenn man über AD-Grenzen hinweg “Vertrauensstellungen” braucht, dann nimmt man in der Microsoft Welt die Active Directory Services. Diese vermitteln zwischen Sender (eigenes Unternehmens-AD) und Empfänger (ein anderes AD oder ein grosse “Zentrale”, wie z.B. der Windows Azure Access Control Service) und stellt für den angemeldeten Benutzer Claims aus. Vermutlich ist das nicht 100% ganz exakt und meine Begrifflichkeiten passen auch nicht 100%, aber im Grunde versteh ich das System so ;)

Wie teste ich nun die Funktionalität des ADFS?

Der ADFS nutzt den IIS um die eigentlichen Endpunkte zu hosten. Es gibt auch eine simple Login-Seite, die jeder Nutzen kann:

https://{ADFS-FQDN}/adfs/ls/IdpInitiatedSignon.aspx

Danach erscheint eine simple “Login-Seite” – nach dem Klick auf “Anmelden” sollte sowas zu sehen sein:

image

Wenn diese Seite ohne es Nutzernamen / Passworts kam funktioniert die Anmeldung über Kerberos – andernfalls wird NTLM genommen.

Falls alles schief läuft (oder die Konfigurationsdatenbank “kaputt” ist) sieht man solch eine Fehlermeldung:

image

Was man damit testen kann:

Damit stellt man erstmal nur sicher, dass die Konfiguration/Verbindung zwischen ADFS und eigenen AD “funktioniert” – mehr nicht – aber auch hier kann es schon zu Problemen kommen. Ob nun die “Gegenstelle” funktioniert ist ein anderes Problem.

Ich habe ein ADFS Proxy im Einsatz – was nun?

Im Grunde prüft man erst den “Haupt”-ADFS und später schaut man von einer anderen Maschine, welche nur den Proxy sieht, ob dieser Login klappt. Danach geht es weiter bis hin zum “Kunden”.

In diesem Blogpost ist das Vorgehen näher beschrieben (und ich glaub von diesem hab ich auch den Tipp) : How to test if ADFS is functioning

Troubleshooting

Ich hatte ein paar Probleme mit dem ADFS, welche leider noch nicht vollständig gelöst wurden, jedoch hab ich ein paar Links noch gefunden, welche vielleicht jemanden weiterhelfen:

AD FS 2.0: How to Change the Local Authentication Type

AD FS 2.0: How to Configure the SPN (servicePrincipalName) for the Service Account


Written by Robert Muehsig

Software Developer - from Saxony, Germany - working on primedocs.io. Microsoft MVP & Web Geek.
Other Projects: KnowYourStack.com | ExpensiveMeeting | EinKofferVollerReisen.de