FIM 2010 R2 SP1 yazılımının kurulumunu daha önceki makale serimizde tamamlamıştık.
https://ortacdemirel.com/forefront-identitiy-manager-2010-r2-sp1-kurulumu-bolum-1/
Bu bölümde ise kurulum sonrasında yapmamız gereken ayarlara bakacağız.
FIM yazılımı yüklendikten sonra birçok özelliğini kullanabilmek için bazı ön ayarlara ihtiyaç duyar.
FIM Hizmet hesabının ayarları:
FIM servislerini yönetmek için yaratmış olduğunuz FIM Service hesabını FIM 2010 kurulumu yaparken de kullanıyoruz. Önemli bir hesap olduğu için kurulumdan sonra birkaç ayar yapmanız gerekmektedir.
FIM 2010 R2 kurulumu yaptığımız makinede yerel grupları açıyoruz.
“FIMSyncAdmins” grubuna “FIMService” hesabımızı ekliyoruz.
Ardından bu hesaba sadece domainimizde yer alan email adreslerinden email atılabileceğini ayarlamamız gerekiyor.
Exchange yönetim sunucumuzu açıyoruz. Benim yapımdaki Exchange sunucu 2010 sürümdür. Siz aynı ayarı 2007 ya da 2013 ile de yapabilirsiniz.
FIMService hesabının özelliklerine giriyoruz. “MailFlow Settings” den “Message Delivery Restrictions” seçeneğini seçiyoruz.
“Require that all senders are authenticated” seçeneğini seçiyoruz.
Son olarak “Message Size Restrictions” seçeneğini seçiyoruz.
En büyük alınacak mesaj büyüklüğünü 1024 kb olarak ayarlıyoruz.
Exchange üzerinden yapacağımız ayarlar bu kadar. Bu aşamadan sonra portalımızın çalıştığı SharePoint yapısından bazı ayarlamalar yapacağız.
FIM portal erişimini HTTPS üzerinden güvenli bir şekilde yapabiliriz. Bunun için sertifika ayarları yapmamız gerekmektedir. Aynı zamanda bu ayar parola kayıt sayfasının açılması içinde gereklidir. Çünkü parola sayfası varsayılan olarak HTTPS üzerinden çalışır.
Bu ayarlar için yapınızda bir CA sunusu olmalıdır.
FIM sunucumuzda IIS yönetim ekranını açıyoruz. Sunucumuz seçili iken ortadaki bölümden “Server Certificates” e geliyoruz.
Actions bölümünden “create domain certificate” seçeneğini seçiyoruz.
Gerekli bilgileri giriyoruz.
Select tuşu ile CA tarafından dağıtılan sertifikamızı seçiyoruz. Friendly name bölümüne “FIMSSL” yazıyoruz. (siz kendinize göre bir friendly name belirleyebilirsiniz)
Ayarlar bitirmek için finish seçeneğine tıklıyoruz.
FIM portal sitemizin üzerine sağ tıklayıp “edit bindings” seçeneğini seçiyoruz.
Add seçeneği ile https adresi ekliyoruz. SSL sertifika bölümünden de yeni yarattığımız sertifikayı seçiyoruz.
Bu aşamadan sonra IIS hizmetini yeniden başlatıyoruz.
Artık sayfamıza https ile erişebiliriz.
FIM sunucumuzda MMC konsolunu açıp certifacates konsolunu ekliyoruz. Eklerken bilgisayar hesabı seçeneğini seçiniz.
Personal > Certificates > All Tasks… > Advanced Operations a gelin ve “Create Custom Request” i seçin.
Active Directory seçeneği ile devam ediyoruz.
Web server ı seçiyoruz.
Details seçeneğine tıklayıp açılan detaylar bölümünden özelliklere tıklıyoruz.
“Subject name” bölümünden “Common name” i seçerek değer bölümüne parola değiştirme ve parola kayıt için daha önce yaratmış olduğumuz DNS leri giriyoruz.
Kurulum bölümünde ben passwordregistration.ortacdemirel.com ve passwordreset.ortacdemirel.com adreslerini kullanmıştım.
General sekmesinden ise SSL sertifikamızın ismini giriyoruz.
Pencereyi onaylanıp kapatıyoruz.
Offline sertifika isteğini kaydedeceğimiz yeri seçiyoruz.
İşlemi sonlandırıyoruz. Bu sertifika dosyasını CA sunucumuza kopyalamamız gerekiyor. Ağ yolu ile kopyalayabilirsiniz.
Bu aşamadan sonra CA sunucuya geçiyoruz.
Certificate Authority konsolunu açıyoruz. CA sertifikasına sağ tıklayıp “Submit new request” seçeneğini seçiyoruz.
Kopyaladığınız sertifikayı seçin. Kaydetme penceresi açılacak bir isim verip aynı yere kaydedebilirsiniz.
Yeni oluşturulan sertifikayı FIM sunucuya gene ağ yolu ile kopyalıyoruz.
FIM sunucuda IIS yönetim ekranına geliyoruz.
Sertifika yönetim bölümünde yer alan “actions” panelinden “Complete Certificate Request” seçeneğini seçiyoruz.
CA sunucudan taşıdığımız sertifikayı seçip daha önce belirlemiş olduğumuz friendly name i giriyoruz.
Bu işlemlerden sonra parola kayıt ve parola değiştirme sayfasını https üzerinden yayınlamamız gerekiyor. IIS üzerinden yapılabilen bu ayarları komut satırından kolayca yapabilirsiniz.
FIM portal sunucumda c:\Windows\system32\inetsrv klasörüne gelip aşağıdaki komutları sırayla çalıştırıyoruz.
appcmd set site /site.name:”FIM Password Registration Site” /”+bindings.[protocol=’https’,bindingInformation=’*:443:passwordregistration.ortacdemirel.com’]
appcmd set site /site.name:”FIM Password Reset Site” /”+bindings.[protocol=’https’,bindingInformation=’*:443:passwordreset.ortacdemirel.com’]
Komutlarda yer alan sayfaları kendi domain yapınıza göre değiştirin.
IIS üzerinden parola değiştirme ve parola kayıt sayfaları için SSL ayarı yapıyoruz.
Bu aşamadan sonra sayfaları açacağımız makinede IE güvenlik ayarlarını düzenleyebiliriz.
Local intranet ayarlarını açıyoruz.
Fim, parola kayıt ve parola değiştirme sayfalarını bu alana giriyoruz.
FIM portal üzerinde ayarlarımız bitmiş bulunmaktadır. Son olarak Active Directory üzerinden passwordregistration sayfası için SPN ayarı yapmamız gerekiyor.
Komut satırını açıp aşağıdaki komutu veriyoruz:
Setspn –s http/passwordregistration.ortacdemirel.com ortacdemirel\fim
Fim : FIM portalı kurduğunuz ve parola hizmetini yapılandırdığınız makine ismidir.
Bu işlemin ardından artık passwordreset ve passwordregistration sayfalarına HTTPS üzerinden giriş yapabiliriz.
