今回は完全に小ネタというか自分用のメモです。
普段、BootcampなMacbook AirにWindows 10を入れ、その上でVMware Workstationを動かして、AD FSやMIMを動かして検証してるんですが、VMやAzureだけでクローズできないネタを検証する場合です。
具体的にはiOSやAndroidデバイスなどをAD FSへデバイス登録してデバイス認証をしたい場合、以下が困ります。
・JailbreakしていないiOSだとhosts登録が出来ない
・色々と事情があってVMをNAT構成で動かしているので母艦PC以外からVMへアクセスできない
ということで、対処してみます。
と、言ってもやることは母艦にApacheを立ててForward Proxyにするだけなんですが。
◆Apacheをダウンロードして構成する
Apacheの本家からWindows用のbinaryのダウンロードは出来なくなっているので、本家からリンクされているサイトからダウンロードをして使います。http://httpd.apache.org/docs/current/platform/windows.html#down
母艦がWindows 10 Pro x64なので、64bit版をダウンロードしてきました。バージョンは現時点の最新版な2.4.25です。
zipアーカイブを解凍したら少々コンフィグをいじくります。(conf\httpd.confを編集します)
ポイントは、
- パスを合わせる
- Proxyに必要なモジュールをロードする
- Forward Proxyとして構成する
- ServerNameをつける
の4点です。
では順番に。
1.パスを合わせる
変更箇所はServerRoot、DocumentRoot、ScriptAlias、cgi-binのディレクトリ設定の4か所です。単にForward Proxyとして使うだけなので変更しなくても問題はありませんエラーが出るので。以下の5行が変更対象です。今回、C:\Tools\Apache以下にモジュールを展開したので環境に合わせて編集します。
ServerRoot "C:/Tools/Apache/Apache24"
DocumentRoot "C:/Tools/Apache/Apache24/htdocs"
ScriptAlias /cgi-bin/ "C:/Tools/Apache/Apache24/cgi-bin/"
必要なモジュールのLoadModule行のコメントアウトを外します。今回AD FSを使うのでhttpsのフォワードも必要なのでmod_proxy_connectも使います。
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_http_module modules/mod_proxy_http.so
非常に雑な構成ですが、httpd.confの最後に以下を追記します。
ProxyRequests On
ProxyVia On
Listen 8080
AllowCONNECT 443
Order deny,allow
Deny from all
Allow from all
4.ServerNameをつける
これはしなくてもいい設定ですが、Apacheの起動時にワーニングが出るのでとりあえず設定しておきます。
ServerName hoge:80
取り敢えずここまで設定したらOKなので、起動しておきます。
私の場合は検証したい時だけ立ち上げれば良いので、サービス化はせずにコマンドプロンプトから直接起動します。
binディレクトリ配下でhttpd.exeを起動するだけです。
◆母艦からアクセスできるようする(hostsファイルの構成など)
母艦経由でVMへアクセスさせたいので、まずは母艦からアクセス出来るようにネットワークを構成をしてあげる必要があります。多くの場合、適当な名前(.localとか)でドメインを構成していたりするので、母艦のhostsファイルを使って適切にアクセスできるように構成する必要があります。
後は、念のため母艦からAD FSへアクセスできることを確認しておきましょう。
◆iOS側のProxy設定をする
最後にiOSのWifi設定でProxyサーバに母艦PCを指定します。尚、当然の事ながら母艦PCへの8080ポートの通信をWindows Firewallで開放しておく必要があります。
iPhoneの設定からWifiを開き、母艦PCと同じアクセスポイントへ接続していることを確認したら、母艦PCのIPアドレスとProxyサーバとして指定した8080番を指定します。
設定はこれで終了です。
◆DRSへアクセスしてデバイス登録する
この状態でiPhoneからAD FSのデバイス登録サービス(DRS)へアクセスして、プロファイルがインストールされるか確認してみます。DRSのアドレスは
https://ADFSServer/EnrollmentServer/otaprofile
ですが、当然インターネットにしか繋がっていないiPhoneからVMで動いているAD FSへアクセスは出来ず、DRSへ到達できません。
しかし、今回母艦に立てたProxyを経由することでVM上のAD FSへアクセスでき、無事にプロファイルがインストールできます。
当然、デバイスクレームの取得もできるので、手元でアクセス制御のテストも行うことが出来ます。
まぁ、Azure上にIaaSを立ててインターネットからもアクセス出来るようにすればいいんでしょうが、iOSからアクセスできるようにちゃんとDNS登録が必要だったり、特にDRSの場合はenterpriseregistrationの名前が解決できる証明書を用意しなければいけなかったりするので、手元で済ませられれば手軽なのでこういう方法もありかな~と思っています。
投稿
0 件のコメント:
コメントを投稿