Sök

AnvändarhandbokIM C2000/C2500/C3000/C3500/C4500/C5500/C6000 series

Förbereda servern för användning som användarautentisering

Vid användning av Windows-autentisering eller LDAP-autentisering som autentiseringsmetod för första gången, måste du kontrollera att din servermiljö uppfyller kraven för användarautentisering, och konfigurera de inställningar som krävs.

Använda Windows-autentisering

Förbered servern på följande sätt:

  1. Kontrollera kraven för Windows-autentisering.

  2. Installera webbservern (IIS) och "Active Directory Certificate Service" på servern.

  3. Skapa ett servercertifikat.

    Du behöver inte skapa ett servercertifikat för att skicka användarinformation som inte är krypterad.

För att använda LDAP-autentisering

Kontrollera kraven för LDAP-autentisering, och konfigurera inställningarna i enlighet med servermiljön.

Krav när serverautentisering används för användarautentisering

Windows-autentisering

Poster

Förklaring

Kompatibla operativsystem

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • För att använda Kerberos-autentisering under Windows Server 2008 måste Service Pack 2 eller senare installeras.

Autentiseringsmetod

Stödjer följande autentiseringsmetoder:

  • NTLM-autentisering (NTLMv1/NTLMv2)

  • Kerberos-autentisering

För att ange Kerberos-autentisering, måste de serverautentiserade användarna stödja Kerberos-autentisering. Om servern inte stödjer det, väljs NTLM-autentisering automatiskt.

Krav för autentisering

  • Konfigurera en domänkontrollant i den domän du anger.

  • Använd LDAP för att erhålla användarinformation när Active Directory körs. Det är rekommenderat att kommunikationen mellan maskinen och LDAP-servern är krypterad med SSL/TLS. Servern måste stödja någon av krypteringsmetoderna TLS1.0/1.1/1.2 eller SSL 3.0. Registrera servercertifikatet för domänkontrollanten i förväg.

    Skapa ett servercertifikat.

  • TLS1.0/SSL 3.0 är inaktiverat i fabriksinställningarna. För att använda TLS1.0/SSL 3.0, anger du TLS1.0/SSL 3.0 som "Aktiverat" i Web Image Monitor.

  • Dataöverföringen mellan maskinen och KDC-servern (Key Distribution Center) måste vara krypterad om Kerberos-autentisering är aktiverat.

    Kryptera nätverkskommunikationen

Obs

  • Servern kan autentisera användare som administreras i andra domäner, men kan inte hämta information såsom en e-postadress.

  • När Kerberos-autentisering är aktiverat, kan inte e-postadressen hämtas om SSL/TLS är angivet.

  • Även om du redigerar en autentiserad användares information, som t.ex. e-postadress i maskinens adressbok, kan den skrivas över med informationen från servern när autentiseringen utförs.

  • Om du skapade en ny användare i domänkontrollanten och vid lösenordskonfigurationen valde "Användare måste byta lösenord vid nästa inloggning" måste du först logga in på datorn och sedan ändra lösenordet.

  • Om "Gäst"-kontot på Windows-servern är aktiverat kan även användare som inte är registrerade i domänkontrollanten bli autentiserade. När detta konto är aktiverat, registreras användare i adressboken och kan använda de tillgängliga funktionerna under [*Standardgrupp].

LDAP-autentisering

Poster

Förklaringar

Kompatibel version

LDAP-version 2.0/3.0

Autentiseringsmetod

  • Kerberos-autentisering

  • Digest-autentisering

  • Klartext-autentisering

När du väljer klartext-autentisering aktiveras förenklad LDAP-autentisering. Förenklad autentisering kan utföras med ett användarattribut (som t.ex. cn eller uid) i stället för DN.

Krav för autentisering

  • För att använda SSL/TLS, måste servern stödja någon av krypteringsmetoderna TLS1.0/1.1/1.2 eller SSL 3.0.

  • TLS1.0/SSL 3.0 är inaktiverat i fabriksinställningarna. För att använda TLS1.0/SSL 3.0, anger du TLS1.0/SSL 3.0 som "Aktiverat" i Web Image Monitor.

  • För att kunna använda Kerberos-autentisering, måste du registrera sfären så att den särskiljer nätverksområdet.

    • Typ av inställningsskärm: Standard

      "Registering the Realm" (registrera sfären), användarhandbok (fullständig version) på engelska

    • Typ av inställningsskärm: Klassisk

      User Guide (Full Version) på engelska

  • Dataöverföringen mellan maskinen och KDC-servern (Key Distribution Center) måste vara krypterad om Kerberos-autentisering är aktiverat.

    Kryptera nätverkskommunikationen

  • När du använder LDAP, kan bara version 3.0 använda digest-autentisering.

Noteringar när LDAP-servern är konfigurerad med Active Directory

  • När Kerberos-autentisering är aktiverat tillsammans med SSL/TLS, kan inte e-postadressen hämtas.

  • Anonym autentisering kan vara tillgänglig. För att öka säkerheten, bör du ställa in anonym autentisering som "Inaktiverat".

Obs

  • Även om du redigerar en autentiserad användares information, som t.ex. e-postadress i maskinens adressbok, kan den skrivas över med informationen från servern när autentiseringen utförs.

  • Vid LDAP-autentisering kan du inte ange åtkomstbegränsning för grupper som har registrerats på servern.

  • När du använder maskinen för första gången, kan användaren använda de "Tillgängliga funktioner" som anges i [Hantering av användarautentisering].

  • För att ange "Tillgängliga funktioner" för respektive användare, registrerar du användaren tillsammans med "Tillgängliga funktioner" i adressboken, eller ange "Tillgängliga funktioner" för den användare som registrerades automatiskt i adressboken.

Installera Webbserver (IIS) och "Active Directory Certificate Service"

Installera den tjänst som krävs i Windows-servern för att automatiskt hämta användarinformation från Active Directory.

Windows Server 2012/2012 R2/2016/2019

1Klicka på [Serverhanteraren] i menyn [Start].

2I menyn [Hantera] klickar du på [Lägg till roller och funktioner].

3Klicka på [Nästa].

4Välj [Rollbaserad eller funktionsbaserad installation] och klicka sedan på [Nästa].

5Välj en server.

6Markera kryssrutorna [Active Directory Certificate Service] och [Web Server (IIS)] och klicka sedan på [Nästa].

Om ett bekräftelsemeddelande visas, klicka på [Lägg till funktioner].

7Markera de funktioner du vill installera och klicka sedan på [Nästa].

8Läs innehållet och klicka sedan på [Nästa].

9Se till att [Certifikatutfärdare] är markerat i området "Rolltjänster" i Active Directory Certificate Services, och klicka sedan på [Nästa].

10Läs innehållet och klicka sedan på [Nästa].

Vid användning av Windows Server 2016, går du till steg 12 efter att du har läst innehållet.

11Markera de rolltjänster som du vill installera under Webbserver (IIS) och klicka sedan på [Nästa].

12Klicka på [Installera].

13När du har slutfört installationen ska du klicka på serverhanterarens meddelandeikon, och sedan klicka på [Konfigurera Active Directory-certifikattjänster på mottagarservern].

14Klicka på [Nästa].

15Klicka på [Certifikatutfärdare] i rolltjänster och klicka sedan på [Nästa].

16Välj [Företag CA] och klicka sedan på [Nästa].

17Välj [Rot CA] och klicka sedan på [Nästa].

18Välj [Skapa en ny privat nyckel] och klicka sedan på [Nästa].

19Välj en kryptografiprovider, nyckellängd och hash-algoritm för att skapa en ny privat nyckel och klicka sedan på [Nästa].

20I "Namn för denna CA:", anger du certifikatutfärdarens namn och klickar på [Nästa].

21Välj giltighetsperiod och klicka på [Nästa].

22Ändra inte "Plats för certifikatets databas:" och "Plats för certifikatets databaslogg:" och klicka på [Nästa].

23Klicka på [Konfigurera].

24När meddelandet "Konfiguration slutförd" visas, klicka på [Stäng].

Windows Server 2008 R2

1På [Start]-menyn pekar du på [Administrationsverktyg] och startar sedan serverhanteraren.

2Klicka på [Roller] i den vänstra kolumnen, klicka på [Lägg till roller] i menyn "Åtgärd".

3Klicka på [Nästa].

4Markera kryssrutorna "Web Server (IIS)" och "Active Directory Certificate Services" och klicka sedan på [Nästa].

Om ett bekräftelsemeddelande visas, klicka på [Lägg till funktioner].

5Läs innehållet och klicka sedan på [Nästa].

6Klicka på "Certifikatutfärdare" och sedan på [Nästa].

7Välj "Företag" och klicka sedan på [Nästa].

8Välj "Rot CA" och klicka sedan på [Nästa].

9Välj "Skapa en ny privat nyckel" och klicka sedan på [Nästa].

10Välj en kryptografiprovider, nyckellängd och hash-algoritm för att skapa en ny privat nyckel och klicka sedan på [Nästa].

11I "Namn för denna CA:", anger du certifikatutfärdarens namn och klickar på [Nästa].

12Välj giltighetsperiod och klicka på [Nästa].

13Ändra inte "Plats för certifikatets databas:" och "Plats för certifikatets databaslogg:" och klicka sedan på [Nästa].

14Läs kommentarerna och klicka sedan på [Nästa].

15Välj rolltjänster att installera, och klicka sedan på [Nästa].

16Klicka på [Installera].

Installationen av ytterligare funktioner startar.

Skapa ett servercertifikat.

Skapa ett servercertifikat i Windows-servern för att kryptera användarinformationen. Windows Server 2016 används som exempel.

1På [Start]-menyn pekar du på [Alla program] och klickar sedan på [IIS-hanteraren (Internet Information Services)] i [Administrationsverktyg].

2I den vänstra kolumnen, klickar du på [Servernamn] och dubbelklickar sedan på [Servercertifikat].

3I den högra kolumnen klickar du på [Skapa certifikatansökan...].

4Ange all information som krävs och klicka sedan på [Nästa].

5I "Kryptograpfiprovider:", väljer du en leverantör och klickar på [Nästa].

6Klicka på [...] och ange sedan ett filnamn för certifikatansökan.

7Ange en plats där filen ska lagras och klicka sedan på [Öppna].

8Klicka på [Avsluta].