Preparar o servidor para autenticação de usuário

Ao usar autenticação Windows ou autenticação LDAP como método de autenticação de usuário pela primeira vez, verifique se o ambiente do servidor atende aos requisitos de autenticação de usuário e configure as definições necessárias.

Para usar a autenticação do Windows

Prepare o servidor do seguinte modo:

Verifique os requisitos de autenticação do Windows.
Instale o servidor Web (IIS) e o "Serviço de certificado do Active Directory" no servidor.
Crie um certificado de servidor.
Você precisa criar um certificado de servidor para transmitir informações de usuário que não estejam criptografadas.

Para usar a autenticação LDAP

Verifique os requisitos de autenticação LDAP e configure as definições de acordo com o ambiente do servidor, conforme necessário.

Requisitos de autenticação de servidor usados para autenticação de usuário

Autenticação do Windows
Itens	Explicação
Sistemas operacionais que podem ser usados	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Para utilizar a autenticação Kerberos no Windows Server 2008, instale o Service Pack 2 ou posterior.
Método de autenticação	Suporta os seguintes métodos de autenticação: Autenticação NTLM (NTLMv1/NTLMv2) Autenticação Kerberos Para especificar a autenticação Kerberos, o servidor que autentica os usuários deve suportar autenticação Kerberos. Caso o servidor não suporte, a autenticação NTLM é selecionada automaticamente.
Requisitos de autenticação	Configure um controlador de domínio no domínio que você especificar. Para obter informações do usuário ao executar o Active Directory, utilize LDAP. Recomendamos que a comunicação seja criptografada entre o equipamento e o servidor LDAP ao usar SSL/TLS. O servidor deve suportar o método de criptografia TLS1.0/1.1/1.2 ou SSL 3.0. Registre previamente o certificado de servidor do controlador de domínio. Criar um certificado de servidor TLS1.0/SSL 3.0 vem desabilitado na definição padrão de fábrica. Para usar TLS1.0/SSL 3.0, especifique TLS1.0/SSL 3.0 como Enable (Habilitar) no Web Image Monitor. A transmissão de dados entre o equipamento e o servidor KDC (Centro de distribuição de chaves) deverá ser criptografada se a autenticação Kerberos estiver habilitada. Criptografar comunicação em rede

Nota

O servidor poderá autenticar usuários gernciados em outros domínios, mas não conseguirá obter informações como um endereço de e-mail.
Quando a autenticação Kerberos estiver habilitada, o endereço de e-mail não poderá ser obtido se SSL/TLS estiver especificado.
Se você editar informações de um usuário autenticado, como um endereço de e-mail no Catálogo de endereços, elas poderão ser substituídas pelas informações do servidor quando a autenticação for executada.
Se você criou um novo usuário no controlador de domínio e a opção "O usuário deve alterar a senha no próximo login" foi selecionada durante a configuração de senha, faça login no computador e altere a senha.
Se a conta "Convidado" no servidor Windows estiver ativa, os usuários não registrados no controlador de domínio poderão ser autenticados. Quando essa conta é habilitada, os usuários são registrados no Catálogo de endereços e podem utilizar as funções disponíveis no [*Grupo padrão].

Autenticação LDAP
Itens	Explicações
Versão utilizável	Versão LDAP 2.0/3.0
Método de autenticação	Autenticação Kerberos Autenticação Digest Autenticação de texto não criptografado Quando você seleciona a autenticação de texto não criptografado, a autenticação simplificada LDAP é habilitada. A autenticação simplificada pode ser executada com um atributo de usuário (como cn ou uid) em vez de DN.
Requisitos de autenticação	Para usar SSL/TLS, o servidor deve suportar o método de criptografia TLS1.0/1.1/1.2 ou SSL 3.0. TLS1.0/SSL 3.0 vem desabilitado na definição padrão de fábrica. Para usar TLS1.0/SSL 3.0, especifique TLS1.0/SSL 3.0 como Enable (Habilitar) no Web Image Monitor. Para usar a autenticação Kerberos, registre o realm para distinguir a área de rede. Tipo de tela de configurações: Padrão "Registro de domínio", Guia do usuário (versão completa) em inglês Tipo de tela de configurações: Clássica Guia do usuário (versão completa) em inglês A transmissão de dados entre o equipamento e o servidor KDC (Centro de distribuição de chaves) deverá ser criptografada se a autenticação Kerberos estiver habilitada. Criptografar comunicação em rede Quando você usa LDAP, apenas a versão 3.0 poderá usar a autenticação Digest.

Notas sobre quando o servidor LDAP é configurado usando o Active Directory

Quando a autenticação Kerberos for habilitada juntamente com SSL/TLS, o endereço de e-mail não poderá ser obtido.
A autenticação anônima pode estar disponível. Para aumentar a segurança, defina a autenticação anônima como Disable (Desabilitar).

Nota

Se você editar informações de um usuário autenticado, como um endereço de e-mail no Catálogo de endereços, elas poderão ser substituídas pelas informações do servidor quando a autenticação for executada.
Com a autenticação LDAP, não é possível especificar limites de acesso para grupos registrados no servidor.
Ao usar o equipamento pela primeira vez, o usuário pode usar as "Funções disponíveis" especificadas em [Gerenciamento de autenticação de usuário].
Para especificar as "Funções disponíveis" para cada usuário, registre o usuário juntamente com as "Funções disponíveis" no Catálogo de endereços ou especifique as funções disponíveis no usuário registrado automaticamente no Catálogo de endereços.

Instalar o servidor Web (IIS) e o "Serviço de certificado de Active Directory"

Instale o serviço necessário no Windows Server para obter informações de usuário registradas automaticamente no Active Directory.

Windows Server 2012/2012 R2/2016/2019

No menu [Iniciar], clique em [Gerenciador de servidores].

No menu [Gerenciar], clique em [Adicionar Funções e Recursos].

Clique em [Próximo].

Selecione [Instalação baseadas em função ou recurso] e, em seguida, clique em [Próximo].

Selecione um servidor.

Selecione "Serviço de certificado do Active Directory" e [Servidor Web (IIS)] e, em seguida, clique em [Próximo].

Se aparecer uma mensagem de confirmação, clique em [Adicionar Recursos].

Marque os recursos a serem instalados e, em seguida, clique em [Próximo].

Leia as informações do conteúdo e, em seguida, clique em [Próximo].

Certifique-se que [Autoridade de Certificado] esteja selecionado na área Serviços de Função dos Serviços de certificados do Active Directory e depois clique em [Próximo].

Leia as informações do conteúdo e, em seguida, clique em [Próximo].

Ao usar o Windows Server 2016, avance para a Etapa 12 após ler as informações do conteúdo.

Verifique os serviços das funções que serão instalados no Servidor Web (IIS) e, em seguida, clique em [Próximo].

Clique em [Instalar].

Depois de concluir a instalação, clique no ícone de notificação do gerenciador de servidores e, em seguida, clique em [Configurar os Serviços de certificados do Active Directory no servidor de destino].

Clique em [Próximo].

Clique em [Autoridade de certificação] no serviço de função e, em seguida, clique em [Próximo].

Selecione [AC corporativa] e, em seguida, clique em [Próximo].

Selecione [AC raiz] e, em seguida, clique em [Próximo].

Selecione [Criar uma nova chave privada] e, em seguida, clique em [Próximo].

Selecione um provedor de criptografia, o tamanho da chave e o algoritmo de hash para criar uma nova chave privada e, em seguida, clique em [Próximo].

Em "Nome da autoridade de certificação:", insira o nome da autoridade de certificação e, em seguida, clique em [Próximo].

Selecione o período de validade e, em seguida, clique em [Próximo].

Deixe "Localização do banco de dados de certificados:" e "Localização de log do banco de dados de certificados:" sem alterações e, em seguida, clique em [Próximo].

Clique em [Configurar].

Quando aparecer a mensagem "Configuração bem-sucedida", clique em [Fechar].

Windows Server 2008 R2

No menu "Iniciar", aponte para "Ferramentas de administrador" e, em seguida, inicie o gerenciador de servidor.

Clique em [Funções] na coluna esquerda e clique em [Adicionar funções] no menu "Ação".

Clique em [Próximo].

Marque as caixas de seleção "Servidor Web (IIS)" e "Serviços de certificados do Active Directory" e, em seguida, clique em [Próximo].

Se aparecer uma mensagem de confirmação, clique em [Adicionar Recursos].

Leia as informações do conteúdo e, em seguida, clique em [Próximo].

Verifique a "Autoridade de certificação" e, em seguida, clique em [Próximo].

Selecione [Empresa] e, em seguida, clique em [Próximo].

Selecione "AC raiz" e, em seguida, clique em [Próximo].

Selecione "Criar uma nova chave privada" e, em seguida, clique em [Próximo].

Selecione um provedor de serviços de criptografia, o comprimento da chave e o algoritmo de hash para criar uma nova chave privada e, em seguida, clique em [Próximo].

Em "Nome da autoridade de certificação:", insira o nome da autoridade de certificação e, em seguida, clique em [Próximo].

Selecione o período de validade e, em seguida, clique em [Próximo].

Deixe "Localização do banco de dados de certificados:" e "Localização de log do banco de dados de certificados:" sem alterações e, em seguida, clique [Próximo].

Leia as notas e, em seguida, clique em [Próximo].

Selecione os serviços de funções e, em seguida, clique em [Próximo].

Clique em [Instalar].

A instalação de recursos adicionados é iniciada.

Criar um certificado de servidor

Para criptografar informações de usuário, crie um novo certificado de servidor no Windows Server. O Windows Server 2016 é usado como exemplo.

No menu [Iniciar], clique em [Todos os aplicativos] e, em seguida, clique em [Gerenciador de Serviços de informação Internet (IIS)] de [Ferramentas do usuário].

Na coluna esquerda, clique em [Nome do servidor] e, em seguida, clique duas vezes em [Certificado de servidor].

Na coluna direita, clique em [Criar Solicitação de Certificado...].

Insira todas as informações e, em seguida, clique em [Próximo].

Em "Provedor de serviços de criptografia:", selecione um provedor e, em seguida, clique em [Próximo].

Clique em [...] e, em seguida, especifique um nome de arquivo para a solicitação de certificado.

Especifique um local para armazenar o arquivo e clique em [Abrir].

Clique em [Concluir].