ค้นหา

คู่มือการใช้งานและบำรุงรักษาเครื่อง (User Guide)IM C2000/C2500/C3000/C3500/C4500/C5500/C6000 series

การเตรียมเซิร์ฟเวอร์เพื่อใช้สำหรับการยืนยันตัวตนผู้ใช้

เมื่อใช้การยืนยันตัวตนผ่าน Windows หรือ LDAP เป็นวิธีการยืนยันตัวตนผู้ใช้เป็นครั้งแรก ให้ตรวจสอบว่าเซิร์ฟเวอร์ที่ใช้ตรงตามข้อกำหนดสำหรับการยืนยันตัวตนผู้ใช้หรือไม่ และกำหนดการตั้งค่าที่ต้องการ

วิธีการยืนยันตัวตนผ่าน Windows

เตรียมเซิร์ฟเวอร์ดังต่อไปนี้:

  1. ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน Windows

  2. ติดตั้งเว็บเซิร์ฟเวอร์ (IIS) และ "Active Directory Certificate Service" ในเซิร์ฟเวอร์

  3. สร้างใบรับรองเซิร์ฟเวอร์

    ผู้ใช้ไม่จำเป็นต้องสร้างใบรับรองเซิร์ฟเวอร์เพื่อส่งข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส

วิธีการยืนยันตัวตนผ่าน LDAP

ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน LDAP และกำหนดการตั้งค่าตามเซิร์ฟเวอร์ที่ใช้งาน

ข้อกำหนดของการรับรองความถูกต้องเซิร์ฟเวอร์ที่ใช้สำหรับการยืนยันตัวตนผู้ใช้

Windows authentication

รายการ

คำอธิบาย

OS ที่สามารถใช้งานได้

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • หากต้องการใช้ระบบยืนยันตัวตนผ่าน Kerberos บน Windows Server 2008 ให้ติดตั้ง Service Pack 2 หรือเวอร์ชันที่ใหม่กว่า

วิธีการกำหนดสิทธิ์

รองรับวิธีการยืนยันตัวตนต่อไปนี้:

  • การยืนยันตัวตนผ่าน NTLM (NTLMv1/NTLMv2)

  • การยืนยันตัวตนผ่าน Kerberos

ในการระบุการยืนยันตัวตนผ่าน Kerberos เซิร์ฟเวอร์ที่ยืนยันตัวตนผู้ใช้ต้องรองรับการยืนยันตัวตนผ่าน Kerberos หากเซิร์ฟเวอร์ไม่รองรับการยืนยันตัวตนนี้ การยืนยันตัวตนผ่าน NTLM จะถูกเลือกโดยอัตโนมัติ

ข้อกำหนดสำหรับการยืนยันตัวตน

  • ตั้งค่าตัวควบคุมโดเมนในโดเมนที่ระบุ

  • หากต้องการรับข้อมูลผู้ใช้ขณะที่ Active Directory กำลังทำงานอยู่ ให้ใช้ LDAP ขอแนะนำให้เข้ารหัสการสื่อสารระหว่างเครื่องและเซิร์ฟเวอร์ LDAP โดยใช้ SSL/TLS เซิร์ฟเวอร์ต้องรองรับวิธีการเข้ารหัส TLS1.0/1.1/1.2 หรือ SSL 3.0 ลงทะเบียนใบรับรองเซิร์ฟเวอร์ของตัวควบคุมโดเมนล่วงหน้า

    การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate)

  • TLS1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน ในการใช้ TLS1.0/SSL 3.0 ให้ระบุ TLS1.0/SSL 3.0 เพื่อเปิดใช้งาน Web Image Monitor

  • การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos

    การเข้ารหัสการสื่อสารผ่านเครือข่าย

หมายเหตุ

  • เซิร์ฟเวอร์สามารถยืนยันผู้ใช้ที่ถูกจัดการในโดเมนอื่นได้ แต่ไม่สามารถรับข้อมูล เช่น อีเมลแอดเดรส ได้

  • เมื่อเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos จะไม่สามารถรับอีเมลแอดเดรสได้หากมีการระบุ SSL/TLS

  • แม้ว่าจะแก้ไขข้อมูลของผู้ใช้ที่ผ่านการยืนยัน เช่น อีเมลแอดเดรส ใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน

  • หากสร้างผู้ใช้รายใหม่ในตัวควบคุมโดเมนและเลือก "User must change password at next logon" ในการกำหนดค่ารหัสผ่าน ควรเข้าสู่ระบบคอมพิวเตอร์และเปลี่ยนรหัสผ่านก่อนใช้งาน

  • หากบัญชี "Guest" บนเซิร์ฟเวอร์ Windows มีการเปิดใช้งานอยู่ ผู้ใช้ที่ไม่ได้ลงทะเบียนอยู่ในตัวควบคุมโดเมนจะได้รับการยืนยันตัวตนด้วย เมื่อบัญชีนี้เปิดใช้งานอยู่ ผู้ใช้จะถูกบันทึกใน Address Book และสามารถใช้ฟังก์ชันต่างๆ ที่มีอยู่ใน "[*Default Group]" ได้

LDAP authentication

รายการ

คำอธิบาย

เวอร์ชันที่สามารถใช้งานได้

LDAP เวอร์ชัน 2.0/3.0

วิธีการกำหนดสิทธิ์

  • การยืนยันตัวตนผ่าน Kerberos

  • การยืนยันตัวตนผ่าน Digest

  • การยืนยันตัวตนผ่าน Cleartext

เมื่อเลือกการยืนยันตัวตนผ่าน Cleartext การยืนยันตัวตนอย่างง่ายผ่าน LDAP จะถูกเปิดใช้งาน การยืนยันตัวตนอย่างง่ายสามารถทำได้โดยใช้แอตทริบิวต์ของผู้ใช้ (เช่น cn หรือ uid) แทนการใช้ DN

ข้อกำหนดสำหรับการยืนยันตัวตน

  • ในการใช้ SSL/TLS เซิร์ฟเวอร์ต้องรองรับวิธีการเข้ารหัส TLS1.0/1.1/1.2 หรือ SSL 3.0

  • TLS1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน ในการใช้ TLS1.0/SSL 3.0 ให้ระบุ TLS1.0/SSL 3.0 เพื่อเปิดใช้งาน Web Image Monitor

  • ในการใช้การยืนยันตัวตัน Kerberos ให้ลงทะเบียน Realm เพื่อกำหนดพื้นที่เครือข่าย

    • ประเภทหน้าจอการตั้งค่า: Standard

      "การลงทะเบียน Realm" ในคู่มือการใช้งานและบำรุงรักษาเครื่อง (ฉบับเต็ม) ภาษาอังกฤษ

    • ประเภทหน้าจอการตั้งค่า: Classic

      "การตั้งโปรแกรม Realm", คู่มือการใช้งานและบำรุงรักษาเครื่อง (ฉบับเต็ม) ภาษาอังกฤษ

  • การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos

    การเข้ารหัสการสื่อสารผ่านเครือข่าย

  • เมื่อใช้ LDAP เฉพาะเวอร์ชัน 3 เท่านั้นที่สามารถใช้การยืนยันตัวตนผ่าน Digest ได้

หมายเหตุกรณีเซิร์ฟเวอร์ LDAP ถูกกำหนดค่าโดยใช้ Active Directory

  • เมื่อมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos พร้อมกับ SSL/TLS จะไม่สามารถรับอีเมลแอดเดรสได้

  • อาจสามารถใช้การยืนยันตัวตนแบบไม่ระบุตัวตนได้ หากต้องการปรับปรุงความปลอดภัย ให้ตั้งค่าการยืนยันตัวตนแบบไม่ระบุตัวตนเป็น Disable

หมายเหตุ

  • แม้ว่าจะแก้ไขข้อมูลของผู้ใช้ที่ผ่านการยืนยัน เช่น อีเมลแอดเดรส ใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน

  • ในระบบยืนยันตัวตนผ่าน LDAP จะไม่สามารถกำหนดขีดจำกัดการเข้าถึงให้กับกลุ่มที่ลงทะเบียนไว้ในเซิร์ฟเวอร์ได้

  • เมื่อใช้เครื่องเป็นครั้งแรก ผู้ใช้สามารถใช้ "ฟังก์ชันที่สามารถใช้งานได้" ที่ระบุใน [การจัดการการตรวจสอบความถูกต้องของผู้ใช้] ได้

  • ในการระบุ "ฟังก์ชันที่สามารถใช้งานได้" สำหรับผู้ใช้แต่ละราย ให้ลงทะเบียนผู้ใช้พร้อมกับ "ฟังก์ชันที่สามารถใช้งานได้" ใน Address Book หรือระบุฟังก์ชันที่สามารถใช้งานได้ในผู้ใช้ที่ถูกบันทึกโดยอัตโนมัติใน Address Book

การติดตั้ง Web Server (IIS) และ "Active Directory Certificate Service"

ติดตั้งบริการที่จำเป็นในเซิร์ฟเวอร์ Windows เพื่อรับข้อมูลผู้ใช้ที่ถูกบันทึกใน Active Directory โดยอัตโนมัติ

Windows Server 2012/2012 R2/2016/2019

1บนเมนู [Start] คลิก [Server Manager]

2บนเมนู [Manage] คลิก [Add Roles and Features]

3คลิก [Next]

4เลือก [Role-based or feature-based installation] จากนั้นคลิก [Next]

5เลือกเซิร์ฟเวอร์

6เลือกกล่อง [Active Directory Certificate Service] และ [Web Server (IIS)] จากนั้นคลิก [Next]

หากข้อความยืนยันแสดงขึ้น ให้คลิก [Add Features]

7เลือกคุณลักษณะที่ต้องการติดตั้ง จากนั้นคลิก [Next]

8อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

9ตรวจสอบว่าได้เลือก [Certification Authority] ในพื้นที่ [Role Services] ของ [Active Directory Certificate Services] แล้ว จากนั้นคลิก [Next]

10อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

เมื่อใช้ Windows Server 2016 ให้ไปที่ขั้นตอน 12 หลังจากอ่านข้อความที่แสดงขึ้นแล้ว

11เลือกบริการที่ต้องการติดตั้งใน [Web Server (IIS)] จากนั้นคลิก [Next]

12คลิก [Install]

13หลังจากเสร็จสิ้นการติดตั้งแล้ว ให้คลิกไอคอนแจ้งเตือนของตัวจัดการเซิร์ฟเวอร์ จากนั้นคลิก [Configure Active Directory Certificate Service on the destination server]

14คลิก [Next]

15ตรวจสอบ [Certification Authority] ใน [Role Services] จากนั้นคลิก [Next]

16เลือก [Enterprise CA] จากนั้นคลิก [Next]

17เลือก [Root CA] จากนั้นคลิก [Next]

18เลือก [Create a new private key] จากนั้นคลิก [Next]

19เลือกตัวเข้ารหัสลับ ความยาวคีย์ และอัลกอริทึมการแฮช เพื่อสร้างคีย์ส่วนตัวขึ้นมาใหม่ จากนั้นคลิก [Next]

20ใน "Common name for this CA:" ให้ป้อนชื่อผู้ให้บริการออกใบรับรอง (Certificate Authority) จากนั้นคลิก [Next]

21เลือกระยะเวลาที่มีผลบังคับใช้ จากนั้นคลิก [Next]

22ห้ามเปลี่ยนแปลง "Certificate database location:" และ "Certificate database log location:" จากนั้นคลิก [Next]

23คลิก [Configure]

24หากข้อความ "Configuration succeeded" แสดงขึ้นมา ให้คลิก [Close]

Windows Server 2008 R2

1บนเมนู "Start" ให้ชี้ไปที่ "Administrative Tools" จากนั้นเริ่มตัวจัดการเซิร์ฟเวอร์

2คลิก [Roles] ในคอลัมน์ด้านซ้าย แล้วคลิก [Add Roles] จากเมนู "Action"

3คลิก [Next]

4เลือกกล่อง "Web Server (IIS)" และ "Active Directory Certificate Services" จากนั้นคลิก [Next]

หากข้อความยืนยันแสดงขึ้น ให้คลิก [Add Features]

5อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

6เลือก "Certification Authority" จากนั้นคลิก [Next]

7เลือก "Enterprise" จากนั้นคลิก [Next]

8เลือก "Root CA" จากนั้นคลิก [Next]

9เลือก "Create a new private key" จากนั้นคลิก [Next]

10เลือกตัวเข้ารหัสลับ ความยาวของคีย์ และอัลกอริทึมการแฮช เพื่อสร้างคีย์ส่วนตัวขึ้นมาใหม่ จากนั้นคลิก [Next]

11ใน "Common name for this CA:" ให้ป้อนชื่อผู้ให้บริการออกใบรับรอง (Certificate Authority) จากนั้นคลิก [Next]

12เลือกระยะเวลาที่มีผลบังคับใช้ จากนั้นคลิก [Next]

13ห้ามเปลี่ยนแปลง "Certificate database location:" และ "Certificate database log location:" จากนั้นคลิก [Next]

14อ่านหมายเหตุ จากนั้นคลิก [Next]

15เลือกบริการเพื่อติดตั้ง จากนั้นคลิก [Next]

16คลิก [Install]

การติดตั้งคุณลักษณะเพิ่มเติมจะเริ่มต้นขึ้น

การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate)

ในการเข้ารหัสข้อมูลผู้ใช้ ให้สร้างใบรับรองเซิร์ฟเวอร์ในเซิร์ฟเวอร์ Windows ขั้นตอนด้านล่างนี้เป็นตัวอย่างของ Windows Server 2016

1บนเมนู [Start] ให้คลิก [All Applications] จากนั้นคลิก [Internet Information Service (IIS) Manager] ของ [Administrative Tools]

2ทางคอลัมน์ด้านซ้าย ให้คลิก [Server Name] จากนั้นดับเบิลคลิกที่ [Server Certificate]

3ในคอลัมน์ด้านขวา คลิก [Create Certificate Request...]

4ป้อนข้อมูลทั้งหมด จากนั้นคลิก [Next]

5ใน "Cryptographic service provider:" ให้เลือกผู้ให้บริการ จากนั้นคลิก [Next]

6คลิก [...] จากนั้นกำหนดชื่อไฟล์สำหรับขอใบรับรอง

7กำหนดตำแหน่งที่ต้องการเก็บบันทึกไฟล์ จากนั้นคลิก [Open]

8คลิก [Finish]