Командлеты PowerShell для управления AD FS и WAP
Настройками AD FS и WAP также можно управлять как при помощи соответствующей консоли, так и используя командлеты PowerShell. Причем многие операции удобнее производить именно при помощи PowerShell. Для WAP доcтупно 12 командлетов модуля WebApplicationProxy(technet.microsoft.com/library/dn283404.aspx), в модуле ADFS(technet.microsoft.com/en-us/library/dn479343.aspx) их 105. Примеры некоторых командлетов уже приводились ранее. Полный список можно получить введя:
PS> Get-Command –Module WebApplicationProxy PS> Get-Command –Module ADFS |
Модуль ADFS разбирать не будем, остановимся только на WebApplicationProxy.
Командлет Add-WebApplicationProxyApplication позволяет публиковать приложение, для Pass-through команда выглядит так:
PS> Add-WebApplicationProxyApplication -BackendServerURL 'https://service.example.org/web-app/' -ExternalCertificateThumbprint '1234.....7890' -ExternalURL 'https://service.org/app1/' -Name 'Maps (no preauthentication)' -ExternalPreAuthentication PassThrough |
Часть командлетов дает возможность быстро получить информацию:
- Get-WebApplicationProxyConfiguration — информация о конфигурации WAP;
- Get-WebApplicationProxyHealth — статус работы;
- Get-WebApplicationProxyApplication — показывает настройки публикации приложений;
- Get-WebApplicationProxyAvailableADFSRelyingParty -список WAP доступных на AD FS;
- Get-WebApplicationProxySslCertificate — информация о привязке SSL сертификата.
-
При помощи командлетов легко сменить сертификат на WAP сервере, смотрим список:
PS> Get-WebApplicationProxySslCertificate
Ставим новый сертификат:
PS> Set-WebApplicationProxySslCertificate -Thumbprint “0987....124”
После чего потребуется перезапуск WAP:
PS> Restart-Service adfssrv
Сохраняем в файл настройки публикации приложений и восстанавливаем на другом узле:
PS> Get-WebApplicationProxyApplication | Export-Clixml "WAPApps" PS> Import-Clixml "WAPApps" | Add-WebApplicationProxyApplication
Командлет Get-WebApplicationProxyConfiguration выдает ряд полезных настроек WAP серверов. Например, параметр ConnectedServersName содержит массив WAP серверов подключенных к AD FS. Можем легко добавить новый:
PS> Set-WebApplicationProxyConfiguration -ConnectedServersName ((Get-WebApplicationProxyConfiguration).ConnectedServersName + ‘wap2.example.org’)
Проблема автологина в браузере
Проблема которая может возникнуть с любым, как правило, не MS браузером. Заключается она в том, что автологин в некоторых браузерах не работает. Для ее решения необходимо разрешить NTLM авторизацию в AD FS для определенного User-Agent. Здесь три шага. Отключаем Extended Protection TokenCheck:
PS> Set-ADFSProperties –ExtendedProtectionTokenCheck None
Проверяем список поддерживаемых User-Agent:
PS> Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
Добавляем название нужного:
PS> Set-ADFSProperties -WIASupportedUserAgents @("MSIE 9.0", "MSIE 10.0" .... "Mozilla/5.0")
Кстати хорошая возможность ограничить применения браузеров в организации.
Как вариант можно просто изменить User-Agent браузера, например при помощи специального расширения вроде User Agent Switcher.
Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.
Комментарии
Комментариев пока что нет
Оставить комментарий