搜索

用户指南IM C2000/C2500/C3000/C3500/C4500/C6000
GS3020c/GS3025c/GS3030c/GS3045c/GS3160c

准备服务器用于用户验证

首次使用Windows验证或LDAP验证作为用户验证方法时,请检查服务器环境是否满足用户验证的要求,并配置所需设置。

要使用Windows验证

按照如下步骤准备服务器:

  1. 检查Windows验证的要求。

  2. 在服务器中安装Web服务器(IIS)和“Active Directory证书服务”。

  3. 创建服务器证书。

    不需要创建服务器证书来传输未加密的用户信息。

要使用LDAP验证

检查LDAP验证的要求,并根据需要按照服务器环境配置设置。

用于用户验证的服务器验证要求

Windows验证

项目

说明

可用操作系统

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • 要在Windows Server 2008中使用Kerberos验证,请安装Service Pack 2或更高版本。

验证方式

支持以下验证方法:

  • NTLM验证(NTLMv1/NTLMv2)

  • Kerberos验证

要指定Kerberos验证,服务器验证用户必须支持Kerberos验证。如果服务器不支持该验证,会自动选择NTLM验证。

验证要求

  • 在指定的域中设置域控制器。

  • 要在运行Active Directory时获取用户信息,请使用LDAP。建议使用SSL/TLS加密机器与LDAP服务器之间的通讯。服务器必须支持TLS1.0/1.1/1.2或SSL 3.0加密方法。提前注册域控制器的服务器证书。

    创建一个服务器证书

  • 在出厂默认设置中TLS1.0/SSL 3.0已禁用。要使用TLS1.0/SSL 3.0,请在Web Image Monitor上指定启用TLS1.0/SSL 3.0。

  • 如果启用了Kerberos验证,则系统会对机器和KDC(密钥分发中心)服务器之间的数据传输必须进行加密。

    加密网络通讯

注

  • 服务器可以验证其他域中管理的用户,但无法获取电子邮件地址等信息。

  • 当启用了Kerberos验证时,如果已指定SSL/TLS,则无法获取电子邮件地址。

  • 即使您在机器通讯薄中编辑已认证用户的信息(如电子邮件地址),在进行认证时它也可能被来自服务器的信息覆盖。

  • 如果您在域控制器中创建了新用户,并且在配置密码时选择了“用户下次登录时须更改密码”,请首先登录到计算机并更改密码。

  • 如果在Windows服务器上启用了“访客”帐户,未在域控制器中注册的用户也会通过验证。启用此帐户后,用户将被注册在通讯簿中,并可使用[*默认群组]下的可用功能。

LDAP验证

项目

说明

可用版本

LDAP版本2.0/3.0

验证方式

  • Kerberos验证

  • 摘要认证

  • 明文认证

选择明文验证时,将会启用LDAP简化验证。可使用用户属性(例如cn或uid)而非DN来进行简化验证。

验证要求

  • 要使用SSL/TLS,服务器必须支持TLS1.0/1.1/1.2或SSL 3.0加密方法。

  • 在出厂默认设置中TLS1.0/SSL 3.0已禁用。要使用TLS1.0/SSL 3.0,请在Web Image Monitor上指定启用TLS1.0/SSL 3.0。

  • 要使用Kerberos验证,请注册领域以区分网络区域。

  • 如果启用了Kerberos验证,则系统会对机器和KDC(密钥分发中心)服务器之间的数据传输必须进行加密。

    加密网络通讯

  • 当使用LDAP时,仅版本3.0可使用摘要认证。

注:如果LDAP服务器配置为使用Active Directory

  • 当Kerberos验证与SSL/TLS一起启用时,无法获取电子邮件地址。

  • 匿名验证可能可用。要提高安全性,请将匿名验证设置为“禁用”。

注

  • 即使您在机器通讯薄中编辑已认证用户的信息(如电子邮件地址),在进行认证时它也可能被来自服务器的信息覆盖。

  • 在LDAP验证下,您无法为服务器中注册的群组指定访问限制。

  • 首次使用机器时,用户可以使用[用户验证管理]中指定的“可使用的功能”。

  • 要为每个用户指定“可使用的功能”,请将用户与“可使用的功能”一同注册到通讯簿中,或者在通讯簿中自动注册的用户中指定可用功能。

安装Web服务器(IIS)和“Active Directory证书服务”

安装Windows服务器中所需的服务,以自动获取Active Directory中注册的用户信息。

Windows Server 2012/2012 R2/2016/2019

1在[开始]菜单上,单击[服务器管理器]。

2在[管理]菜单上,单击[添加角色和功能]。

3单击[下一步]。

4选择[基于角色或基于功能的安装],然后单击[下一步]。

5选择某个服务器。

6选择[Active Directory证书服务]和[Web服务器(IIS)]复选框,然后单击[下一步]。

如果出现确认信息,请单击[添加特性]。

7检查要安装的功能,然后单击[下一步]。

8阅读内容信息,然后单击[下一步]。

9确保在Active Directory证书服务的角色服务区域中选定了[证书颁发机构],然后单击[下一步]。

10阅读内容信息,然后单击[下一步]。

当使用Windows Server 2016时,请在读取内容信息后进入第12步。

11检查要安装在Web服务器(IIS)下的角色服务,然后单击[下一步]。

12单击[安装]。

13安装完成后,单击服务器管理器的通知图标,然后单击[在目标服务器上配置Active Directory证书服务]。

14单击[下一步]。

15在角色服务区域中单击[证书颁发机构],然后单击[下一步]。

16选择[企业CA],然后单击[下一步]。

17选择[根CA],然后单击[下一步]。

18选择[新建私钥],然后单击[下一步]。

19选择加密提供程序、密钥长度和哈希算法,以创建新的私钥,然后单击[下一步]。

20在“此CA的普通名称:”中,输入证书机构名称,然后单击[下一步]。

21选择有效期,然后单击[下一步]。

22“证书数据库位置:”和“证书数据库日志位置:”不变动,然后单击[下一步]。

23单击[配置]。

24当出现“配置成功”信息时,请单击[关闭]。

Windows Server 2008 R2

1在“开始”菜单中,指向“管理员工具”,然后启动服务器管理器。

2单击左列中的[角色],然后在“操作”菜单中单击[添加角色]。

3单击[下一步]。

4选择“Web服务器(IIS)”和“Active Directory证书服务”复选框,然后单击[下一步]。

如果出现确认信息,请单击[添加特性]。

5阅读内容信息,然后单击[下一步]。

6单击“证书颁发机构”,然后单击[下一步]。

7选择“企业”,然后单击[下一步]。

8选择“根CA”,然后单击[下一步]。

9选择“新建私钥”,然后单击[下一步]。

10选择加密服务提供程序、密钥长度和哈希算法,以创建新的私钥,然后单击[下一步]。

11在“此CA的普通名称:”中,输入证书机构名称,然后单击[下一步]。

12选择有效期,然后单击[下一步]。

13“证书数据库位置:”和“证书数据库日志位置:”不变动,然后单击[下一步]。

14阅读注意事项,然后单击[下一步]。

15选择要安装的角色服务,然后单击[下一步]。

16单击[安装]。

添加功能的安装启动。

创建一个服务器证书

要加密用户信息,请在Windows服务器中创建服务器证书。使用Windows Server 2016为例。

1在[开始]菜单上,单击[所有应用],然后单击[管理员工具]的[Internet信息服务(IIS)管理器]。

2在左侧栏中,单击[服务器名称],然后双击[服务器证书]。

3在右列中,单击[创建证书请求...]。

4输入全部信息,然后单击[下一步]。

5在“加密服务提供者:”中,选择提供者,然后单击[下一步]。

6单击[...],然后为证书请求指定文件名。

7指定保存文件的位置,然后单击[打开]。

8单击[完成]。