Подготовка сервера к использованию для аутентификации пользователя

При первом использовании аутентификации Windows или LDAP в качестве способа аутентификации пользователей необходимо убедиться, что используемая среда сервера соответствует требованиям функции аутентификации пользователя, а также настроить необходимые параметры.

Использование аутентификации Windows

Подготовьте сервер, выполнив следующее.

Проверьте соответствие требованиям аутентификации Windows.
Установите веб-сервер (IIS) и службу сертификации Active Directory на сервере.
Создайте сертификат сервера.
Для передачи незашифрованной информации пользователя не требуется создание сертификата сервера.

Использование аутентификации LDAP

Проверьте соответствие требованиям аутентификации LDAP и при необходимости настройте параметры в соответствии с условиями среды сервера.

Требования к аутентификации сервера, используемой для аутентификации пользователей

Аутентификация Windows
Элементы	Пояснение
Доступная операционная система	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Чтобы использовать аутентификацию Kerberos при работе с ОС Windows Server 2008, установите Service Pack 2 (SP 2) и выше.
Способ аутентификации	Предусмотрена поддержка указанных далее способов аутентификации. Аутентификация NTLM (NTLMv1/NTLMv2) Аутентификация Kerberos Чтобы задать использование аутентификации Kerberos, для пользователей, аутентификация которых осуществляется через сервер, должна быть настроена поддержка аутентификации Kerberos. Если сервер не поддерживает этот протокол, автоматически будет использоваться аутентификация NTLM.
Требования к аутентификации	Настройте контроллер домена в заданном домене. Чтобы получить данные пользователя при работе с активным каталогом, используйте LDAP. Рекомендуется, чтобы передача данных между аппаратом и сервером LDAP была зашифрована с помощью SSL/TLS. Сервер должен поддерживать метод шифрования с помощью TLS1.0/1.1/1.2 или SSL 3.0. Зарегистрируйте сертификат сервера контроллера домена заранее. Создание сертификата сервера Поддержка протокола TLS1.0/SSL 3.0 отключена в заводских настройках по умолчанию. Для включения поддержки протокола TLS1.0/SSL 3.0 задайте его использование в приложении Web Image Monitor. Передача данных между аппаратом и сервером центра распределения ключей (KDC) должна быть зашифрована, если аутентификация Kerberos включена. Шифрование передаваемых по сети данных

Примечание

Сервер может использоваться для аутентификации пользователей, управляемых в других доменах, но не для получения такой информации, как, например, адрес электронной почты.
Если включена аутентификация Kerberos и задано использование SSL/TLS, то получить адрес электронной почты невозможно.
Даже если информация аутентифицированного пользователя, например адрес электронной почты, была изменена в адресной книге аппарата, во время выполнения аутентификации она может быть перезаписана информацией с сервера.
Если в контроллере домена создана новая учетная запись пользователя, а для конфигурации пароля выбран вариант "Пользователь должен сменить пароль при следующем входе в систему", в первую очередь следует войти в систему компьютера и изменить пароль.
Если на сервере Windows включена учетная запись "Guest" (Гость), то могут быть аутентифицированы даже пользователи, не зарегистрированные в контроллере домена. Если эта учетная запись доступна, пользователи, зарегистрировавшиеся в адресной книге, могут использовать функции, указанные в пункте [*Группа по умолчанию].

Аутентификация LDAP
Элементы	Пояснения
Доступная версия	Версия LDAP 2.0/3.0
Способ аутентификации	Аутентификация Kerberos Дайджест-аутентификация Аутентификация незашифрованного текста При выборе аутентификации незашифрованного текста будет включена упрощенная аутентификация LDAP. Упрощенная аутентификация может выполняться с атрибутом пользователя (например, cn или uid) вместо DN.
Требования к аутентификации	Для использования SSL/TLS сервер должен поддерживать метод шифрования с помощью TLS1.0/1.1/1.2 или SSL 3.0. Поддержка протокола TLS1.0/SSL 3.0 отключена в заводских настройках по умолчанию. Для включения поддержки протокола TLS1.0/SSL 3.0 задайте его использование в приложении Web Image Monitor. Чтобы использовать аутентификацию Kerberos, необходимо зарегистрировать область для обособления зоны сетевого подключения. Тип экрана настроек: Стандарт. Регистрация области Тип экрана настроек: Классический Программирование области Передача данных между аппаратом и сервером центра распределения ключей (KDC) должна быть зашифрована, если аутентификация Kerberos включена. Шифрование передаваемых по сети данных Когда используется LDAP, только версия 3.0 будет поддерживать дайджест-аутентификацию.

Примечания относительно случаев, когда параметры сервера LDAP настроены с использованием Active Directory

Адрес электронной почты невозможно получить, если аутентификация Kerberos включена одновременно с поддержкой SSL/TLS.
Может быть доступна анонимная аутентификация. Чтобы повысить уровень безопасности, отключите функцию анонимной аутентификации.

Примечание

Даже если информация аутентифицированного пользователя, например адрес электронной почты, была изменена в адресной книге аппарата, во время выполнения аутентификации она может быть перезаписана информацией с сервера.
В случае использования аутентификации LDAP нельзя задавать ограничения доступа для групп, зарегистрированных на сервере.
При использовании аппарата в первый раз пользователь может воспользоваться параметром Доступные функции, заданном в меню [Управл.аутент.пользователя].
Чтобы задать Доступные функции для каждого пользователя, необходимо зарегистрировать пользователя и Доступные функции в адресной книге, или же функции, которые доступны пользователю, зарегистрированному в адресной книге, можно задать автоматически.

Установка веб-сервера (IIS) и службы сертификации Active Directory

Установите требуемую службу на сервере Windows для автоматического получения информации пользователя, зарегистрированной в Active Directory.

Windows Server 2012/2012 R2/2016/2019

В меню [Пуск] нажмите [Диспетчер сервера].

В меню [Управление] нажмите на [Добавить роли и компоненты].

Нажмите [Далее].

Выберите [Установка ролей или компонентов], а затем нажмите [Далее].

Выберите сервер.

Установите флажки [Служба сертификации Active Directory] и [Веб-сервер (IIS)], а затем нажмите [Далее].

Если появится уведомление с подтверждением, нажмите [Добавить компоненты].

Проверьте компоненты, которые необходимо установить, а затем нажмите [Далее].

Прочитайте информацию, а затем нажмите [Далее].

Убедитесь, что [Центр сертификации] выбран в области служб ролей в службах сертификации Active Directory, а затем нажмите [Далее].

Прочитайте информацию, а затем нажмите [Далее].

При использовании Windows Server 2016 перейдите к шагу 12 после прочтения информации.

Проверьте службы ролей, которые необходимо установить, в разделе веб-сервера (IIS), а затем нажмите [Далее].

Нажмите [Установить] (Install).

После завершения установки нажмите значок уведомления диспетчера сервера, а затем нажмите [Настроить службу сертификации Active Directory на конечном сервере].

Нажмите [Далее].

Установите флажок [Центр сертификации] в службе ролей, а затем нажмите [Далее].

Выберите [ЦС предприятия], а затем нажмите [Далее].

Выберите [Корневой ЦС], а затем нажмите [Далее].

Выберите [Создать новый закрытый ключ], а затем нажмите [Далее].

Для создания нового закрытого ключа выберите поставщика службы шифрования, длину ключа и алгоритм хеширования, а затем нажмите [Далее].

В поле "Общее имя для этого ЦС:" введите имя центра сертификации, а затем нажмите [Далее].

Выберите срок действия, а затем нажмите [Далее].

Оставьте "Расположение базы данных сертификата:" и "Место регистрации базы данных сертификата:" без изменений, а затем нажмите [Далее].

Нажмите [Настроить].

Когда появится уведомление "Настройка выполнена успешно", нажмите [Закрыть].

Windows Server 2008 R2

В меню "Пуск" выберите "Администрирование", а затем запустите диспетчер сервера.

В левом столбце нажмите [Роли] и нажмите [Добавить роли] в меню "Действие".

Нажмите [Далее].

Установите флажки для "Веб-сервер (IIS)" и "Службы сертификации Active Directory", а затем нажмите [Далее].

Если появится уведомление с подтверждением, нажмите [Добавить компоненты].

Прочитайте информацию, а затем нажмите [Далее].

Установите флажок "Центр сертификации", а затем нажмите [Далее].

Выберите "Предприятие", а затем нажмите [Далее].

Выберите "Корневой ЦС", а затем нажмите [Далее].

Выберите "Создать новый закрытый ключ", а затем нажмите [Далее].

Чтобы создать новый закрытый ключ, выберите поставщика службы шифрования, длину ключа и алгоритм хеширования, а затем нажмите [Далее].

В поле "Общее имя для этого ЦС:" введите имя центра сертификации, а затем нажмите [Далее].

Выберите срок действия, а затем нажмите [Далее].

Ознакомьтесь с примечаниями, а затем нажмите [Далее].

Выберите службы ролей, которые необходимо установить, а затем нажмите [Далее].

Нажмите [Установить] (Install).

Начинается установка дополнительных компонентов.

Создание сертификата сервера

Чтобы зашифровать информацию пользователя, необходимо создать сертификат сервера на сервере Windows. В качестве примера используется Windows Server 2016.

В меню [Пуск] нажмите [Все приложения], а затем — [Диспетчер служб IIS] в разделе [Администрирование].

В левом столбце нажмите [Имя сервера], а затем дважды нажмите [Сертификат сервера].

В правом столбце нажмите [Создать запрос сертификата...].

Введите всю необходимую информацию, а затем нажмите [Далее].

В списке "Поставщик службы шифрования:" выберите поставщика и нажмите [Далее].

Нажмите [...] и укажите имя файла для запроса сертификата.

Укажите место сохранения файла и нажмите кнопку [Открыть].

Нажмите [Готово] (Finish).