otrderのNGINXプロキシの背後でADFS 3.0を動作させ、私のローカルADに自分のoffice365アカウントをフェデレートしようとしています。 すべて正常に動作しているようですが、いくつかの質問には答えられていません。 1- ADFS 2.0の3番目のadfsプロキシの動作を説明する記事がありますが、ADFSで同じものを見つけることはできません(https://technet.microsoft.com/it-it/library/hh852618(v=ws.10).aspx) 3.0。 特に、これらの記事では、「MEX情報はエクストラネットでは区別されています。これに対処するため、URL/adfs/services/trust/mexへのすべての外部リクエストは、/ adfs/services/trust/proxymex終わりのSTS。これはまだadfs 3.0に当てはまりますか? nginxの設定は次のとおりですが、それで十分ですか? nginxの上ADFS 3.0 + NGINX EventID 342と500
upstream adfsup {
server mydc03.mydomain.local:443;
server mydc01.mydomain.local:443;
keepalive 100;
}
server {
listen 443;
server_name adfs.mypubdomain.it;
ssl on;
ssl_certificate /etc/letsencrypt/live/adfs.mypubdomain.it/cert.pem;
#ssl_certificate /ssl/adfs_mypubdomain_it.pem;
ssl_certificate_key /etc/letsencrypt/live/adfs.mypubdomain.it/privkey.pem;
#ssl_certificate_key /ssl/adfs_mypubdomain_it.key;
location/{
proxy_pass https://adfsup; # my existing apache instance
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-MS-Proxy mypubrp0v;
proxy_http_version 1.1;
#proxy_next_upstream error timeout invalid_header http_500 http_503;
proxy_next_upstream error timeout invalid_header http_503;
proxy_connect_timeout 2;
}
}
2 - 私は500エラーがたくさん見ることができますログ: "POST/ADFS /サービス/信頼/ 2005/usernamemixed HTTP/1.1" 500 1025 " - " " - " " - " とADFSマシン上のイベントIDに対応EVTログ342
Token validation failed.
Additional Data
Token Type:
http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName
%Error message:
[email protected] user name or password is incorrect
Exception details:
System.IdentityModel.Tokens.SecurityTokenValidationException: [email protected] ---> System.ComponentModel.Win32Exception: The user name or password is incorrect
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserHandle(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, SafeCloseHandle& tokenHandle, SafeLsaReturnBufferHandle& profileHandle)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
--- End of inner exception stack trace ---
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)
System.ComponentModel.Win32Exception (0x80004005): The user name or password is incorrect
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserHandle(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, SafeCloseHandle& tokenHandle, SafeLsaReturnBufferHandle& profileHandle)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
に私はRCAテスト(https://www.testconnectivity.microsoft.com/?testid=SingleSignOn)に間違ったパスワードを入力する。このエラーを再現することができますが、私はそれが間違ったパスワードが普通ではないと思います例外を投げる。 私のすべてのユーザーはうまくいくようですが、ADFSが動作しているログオントラフは、この状況をどのように修正できるか、誰にでも分かりますか?エクストラネットアクセス用ADFS 2012R2(別名ADFS 3.0)のプロキシとして動作する任意のサードパーティシステムのおかげ
ロレンツォ