Forefront Identity Manager 2010 R2 SP1 Kurulumu Bölüm 2

İlk bölümde FIM yapısından bahsetmiştik. SQL server için gerekli olan Active Directory yapılandırmasını yapıp SQL server ve SharePoint 2013 ve SCSM 2012 sunucumuzu kurmuştuk.

Bu aşamadan sonra kurulum için gerekli olan ayarları yapabiliriz.

FIM Hizmet Hesaplarının yaratılması:

SQL Server kurulumunda olduğu gibi bazı hizmet hesaplarına ihtiyacımız var. Bu hesapları FIM hizmetleri, fim senkronize hizmetleri, yönetim ajanları, parola değiştirme işlemleri ve sharepoint hizmetleri için kullanılacaklar.

Aşağıdaki hesapları Active Directory de yaratıyoruz.

Bu hesapları yaratırken mutlaka parolaları için “password never expires” seçeneği işaretli olmalıdır.

FIM Service hesabı için email hesabı yaratılması:

Yaratmış olduğumuz hesaplardan “FIM Service” hesabı için email hesabı açıyoruz.

FIMService ve FIMSynchService için yerel güvenlik politikalarının hazırlanması:

FIM kurulumu yapacağımız sunucuda “Local security Policy” den FIMService ve FIMSynchService hesapları için üç adet izin tanımlamamız gerekmektedir.

Bu izinler:

  • Deny logon as batch job
  • Deny logon locally
  • Deny access to this computer from the network

 

SharePoint hizmet hesabının belirlenmesi:

Active Directory üzerinde yaratmış olduğumuz “SharePoint Service” hesabını SharePoint portal üzerinde hizmet hesabı olarak tanımlamamız gerekiyor.

SharePoint merkezi yönetim konsolunu açıyoruz. Security bölümünden “General Security” altında yer alan “Configure Security Accounts” seçeneğini seçiyoruz.

İlk bölümden “Web Application Pool –FIMPool” varsayılan web uygulamamızı seçiyoruz. Hesap bölümünde ise active directory de yaratmış olduğumuz “SPservice” hesabını seçiyoruz. Hesabı bu bölüme “Register new managed account” seçeneği ile ekleyebiliriz.

SpService hesabını Kerberos Ticket Decryption kullanımı için IIS yapılandırması:

Windows > System32 > intesrv > config klasörüne geliyoruz.

“ApplicationHost.config” dosyasını notepad ile açıyoruz.

Arama kutusu açıp içerisine windowsAuthentication enabled=”true” yazıyoruz. İlk bulduğumuz sonucun yanına useKernelMode=”false” useAppPoolCredentials=”true” ifadesini ekliyoruz.

Bu işlemin ardından notepad ı kapatıp iisreset komutu ile IIS i yeniden başlatın.

Bir sonraki adımda kullanacağımız bazı sharepoint ve fim hesapları için SPN (service principal names) ayarları yapacağız.

Domain Controller makinemize geçiyoruz.

Komut satırını yönetici modunda açıyoruz.

SpService için aşağıdaki komutları sırasıyla çalıştırıyoruz: (Komutlarda fim: FIM 2010 kurulumu yapacağımız sunucudur. Hesapların önüne kendi domain isminizi yazmayı unutmayınız)

Setspn.exe –S HTTP/fim ORTACDEMIREL\SPService

Setspn.exe –S HTTP/fim.ortacdemirel.com ORTACDEMIREL\SPService

FIMService hesabı için:

Setspn.exe –S FIMService/fim ORTACDEMIREL\FIMService

Setspn.exe –S FIMService/fim.ortacdemirel.com ORTACDEMIREL\FIMService

SQL için:

Setspn –S MSSQLsvc/fim.ortacdemirelcom:1433 ORTACDEMIREL\fim

Setspn –S MSSQLsvc/fim:1433 ORTACDEMIREL\fim

Komutların sonunda kullanılan ORTACDEMIREL\fim sql server bilgisayar hesabını göstermelidir.

SPService ve FIMService için yetki devri:

Bu iki hesap için active directory üzerinden yetki devri ayarları yapmamız gerekiyor.

Active direcorty de gelişmiş görünümü açıyoruz.

SpService hesabının özelliklerine giriyoruz. “Delegation” sekmesine gelip “FIM Service” hesabını ekliyoruz.

Aynı ayarı FIM Service hesabı içinde yapacağız.

Sıra parola senkronizasyonu için DNS yapılandırılmasına. Kullanıcılar parola değiştirme sayfasından kendi parolalarını değiştirebilecekler. Haliyle giriş yapmaları gereken bir parola sayfası olması lazım. Bu sayfa bizim FIM sunucu üzerinden host edilecek. DNS adresleri FIM sunucumuzu göstermelidir.

Passwordreset ve Passwordregistration adı ile iki adet Host A kaydı açıyoruz. IP olarak FIM sunucumuzu girmeliyiz.

SharePoint Administrative Hizmetinin başlatılması:

Son olarak FIM sunucumuz üzerinden “SharePoint Administrator” hizmetini başlatıyoruz.

 

Bu işlemler dışında kontrol etmeniz gereken ayarlar:

  • SQL Agent hizmeti çalışıyor ve otomatik başlama konumunda olmalıdır.
  • SQL server için 445, 1433 ve 1434 portlarının açık olması gerekmektedir.
  • FIM kurulumu yapacak hesap SharePoint portal üzerinde de yetkili olmalıdır. Site collection ınız üzerinde yönetici yetkisine sahip olmalıdır.

 

Bölüm1:
http://ortacdemirel.com/forefront-identitiy-manager-2010-r2-sp1-kurulumu-bolum-1/

Bölüm3:
http://ortacdemirel.com/forefront-identitiy-manager-2010-r2-sp1-kurulumu-bolum-3/

Paylaş

Leave a Reply

Your email address will not be published. Required fields are marked *