none
ADFSの仕様につきまして RRS feed

  • 質問

  • いつも大変お世話になっております。

    現在、ADFSサーバを構築し、クライアントからサーバへのテストを行っております。

    構成としては以下の通りです。

    [構成]

    ADFSサーバ:Windows Server2016

    ADサーバ:Windows Server2016

    Load Balancer:F5 BIG-IP

    上記構成にて、クライアント→BIG-IP(パススルー)→ADFSサーバと通信した場合は、問題なくADFSのサインイン画面が表示されるのですが

    クライアント→BIG-IP(証明書チェック及び再暗号化)→ADFSサーバと通信した場合は、ADFSのサインイン画面が表示できません。

    パケットキャプチャを実施した所、再暗号化した場合の処理ではClient Helloの所でホスト情報が抜けている等、一部情報が抜けているようになっておりました。(パススルーの場合は情報が抜けておりませんでした)

    ADFSサーバにおいて、ホストの情報等が抜けている場合には、通信をさせない等のセキュリティ的な仕様はございますでしょうか。

    ご存知の方がいらっしゃいましたら、ご教示頂けますと幸いです。

    何卒よろしくお願い申し上げます。

    2018年9月19日 7:25

回答

  • チャブーンです。

    まずAD FSのチェック事項?については、Revocation Check以外でチェックしているような部分はないようです。

    仕方がないので、F5側の資料を調べたところ、「バックエンドで再暗号化を行う場合、SNI(Sever Name Indication)を再設定する必要がある」ということでした。SNIはこの場合「AD FSサービス名(のFQDN)」をBig-IP側のしかるべき箇所に指定します。AD FSサービス名は「AD FSの管理」コンソール内で確認できますが、間違ってサーバー名のFQDNを指定しないようにしてください(いわゆるコンピューター名はAD FSサービス名ではありません)。

    https://devcentral.f5.com/articles/big-ip-and-adfs-part-5-working-with-adfs-30-and-sni

    これでも解消しないようであれば、まずはF5のサポートに尋ねるべき案件かと思います。こういう構成は当然F5も認識しているでしょうから、なにがしかの情報はあるでしょう。もしもそれがだめだった場合ですが、コミュニティは「製品サポート」の組織ではないので、サポート相当の対応はできません。きちんと費用を払って、MS有償サポートに依頼してください。

    追記:F5の資料にも"The load balancing device must be able to present the server name to the backend host as part of the initial Client Hello. "ってあるので(まさにこのケース)、大丈夫だとは思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年9月20日 6:02

すべての返信

  • チャブーンです。

    この件ですが、なぜF5側で再暗号化しないといけないのか、わからない部分はありますが、AD FS側のチェックということであれば証明書のRevocation Checkは行っています。これを無効化することで、改善するかもしれません。

    無効化のコマンドはPowerShellで行います。詳細はしたのページの「AD FS Certificate Revocation Checking」をご覧になってください。

    https://blogs.technet.microsoft.com/platformspfe/2015/10/28/part-8-windows-server-2012-r2-ad-fs-federated-web-sso/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年9月20日 4:40
  • チャブーン様

    ご回答いただきまして誠にありがとうございます。

    F5で再暗号化しなければいけない件ですが、特殊な要件のため伏せさせていただいております。

    また、チャブーン様にご教示いただいた設定を確認した所、デフォルト状態で”None”となっておりました。

    以上となります。よろしくお願いいたします。

    2018年9月20日 5:17
  • チャブーンです。

    まずAD FSのチェック事項?については、Revocation Check以外でチェックしているような部分はないようです。

    仕方がないので、F5側の資料を調べたところ、「バックエンドで再暗号化を行う場合、SNI(Sever Name Indication)を再設定する必要がある」ということでした。SNIはこの場合「AD FSサービス名(のFQDN)」をBig-IP側のしかるべき箇所に指定します。AD FSサービス名は「AD FSの管理」コンソール内で確認できますが、間違ってサーバー名のFQDNを指定しないようにしてください(いわゆるコンピューター名はAD FSサービス名ではありません)。

    https://devcentral.f5.com/articles/big-ip-and-adfs-part-5-working-with-adfs-30-and-sni

    これでも解消しないようであれば、まずはF5のサポートに尋ねるべき案件かと思います。こういう構成は当然F5も認識しているでしょうから、なにがしかの情報はあるでしょう。もしもそれがだめだった場合ですが、コミュニティは「製品サポート」の組織ではないので、サポート相当の対応はできません。きちんと費用を払って、MS有償サポートに依頼してください。

    追記:F5の資料にも"The load balancing device must be able to present the server name to the backend host as part of the initial Client Hello. "ってあるので(まさにこのケース)、大丈夫だとは思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年9月20日 6:02
  • チャブーン様

    ご回答頂きまして誠にありがとうございます。

    こちらでも調査し、BIG-IP側でSNIの設定を実施して解決している状態となっております。

    お手数をおかけ致しました。

    また回答としてマークもさせて頂きました。

    ご回答ありがとうございました。

    2018年10月11日 2:00