AnwenderanleitungIM 2702

Vorbereitung des Servers für die Verwendung von Anwender-Authentifizierung

Wenn Sie Windows-Authentifizierung oder LDAP-Authentifizierung zum ersten Mal als Anwender-Authentifizierungsmethode verwenden, überprüfen Sie, ob Ihre Serverumgebung die Anforderungen für Anwender-Authentifizierung erfüllt, und konfigurieren Sie die erforderlichen Einstellungen.

Zur Verwendung von Windows-Authentifizierung

Bereiten Sie den Server wie folgt vor:

  1. Überprüfen Sie die Anforderungen der Windows-Authentifizierung.

  2. Installieren Sie den Webserver (IIS) und "Active Directory-Zertifikatdienste" auf dem Server.

  3. Erstellen Sie ein Serverzertifikat.

    Sie müssen kein Serverzertifikat erstellen, um Anwenderinformationen zu übertragen, die nicht verschlüsselt sind.

Zur Verwendung von LDAP-Authentifzierung

Überprüfen Sie die Anforderungen der LDAP-Authentifizierung und konfigurieren Sie die Einstellungen entsprechend der Serverumgebung wie erforderlich.

Anforderungen der für die Anwender-Authentifizierung verwendeten Server-Authentifizierung

Windows-Authentifizierung

Elemente

Beschreibung

Verwendbare Betriebssysteme

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Um die Kerberos-Authentifizierung unter Windows Server 2008 verwenden zu können, installieren Sie das Service Pack 2 oder höher.

Authentifizierungsmethode

Unterstützt die folgenden Authentifizierungsmethoden:

  • NTLM-Authentifizierung (NTLMv1/NTLMv2)

  • Kerberos-Authentifizierung

Zur Festlegung von Kerberos-Authentifizierung muss der Server, der die Anwender authentifiziert, die Kerberos-Authentifizierung unterstützen. Wenn der Server dies nicht unterstützt, wird automatisch die NTLM-Authentifizierung ausgewählt.

Anforderungen für die Authentifizierung

  • Richten Sie einen Domänen-Controller in der Domäne ein, die Sie festlegen.

  • Um Anwenderinformationen bei Ausführung von Active Directory abzurufen, verwenden Sie LDAP. Es wird empfohlen, dass die Kommunikation zwischen dem Gerät und dem LDAP-Server mittels SSL/TLS verschlüsselt wird. Der Server muss die Verschlüsselungsmethode TLS 1.0/1.1/1.2 oder SSL 3.0 unterstützen. Registrieren Sie zunächst das Serverzertifikat auf dem Domänen-Controller.

    Erstellen eines Serverzertifikats

  • In den Werkseinstellungen ist TLS 1.0/SSL 3.0 standardmäßig deaktiviert. Zur Verwendung von TLS 1.0/SSL 3.0 aktivieren Sie TLS 1.0/SSL 3.0 im Web Image Monitor.

  • Die Übertragung von Daten zwischen dem Gerät und dem KDC-Server (Key Distribution Center) muss verschlüsselt werden, wenn die Kerberos-Authentifizierung aktiviert ist.

    Verschlüsseln der Netzwerkkommunikation

Hinweis

  • Der Server kann Anwender authentifizieren, die in anderen Domänen verwaltet werden, allerdings lassen sich keine Informationen wie z. B. eine E-Mail-Adresse abrufen.

  • Wenn die Kerberos-Authentifizierung aktiviert ist, kann die E-Mail-Adresse nicht abgerufen werden, falls SSL/TLS festgelegt ist.

  • Auch wenn Sie die authentifizierten Informationen eines Anwenders wie z. B. eine E-Mail-Adresse im Adressbuch des Geräts bearbeiten, kann diese durch die Informationen auf dem Server überschrieben werden, wenn die Authentifizierung ausgeführt wird.

  • Wenn Sie einen neuen Anwender im Domänen-Controller erstellt haben und die Option "Anwender muss Passwort bei nächster Anmeldung ändern" bei der Passwortkonfiguration gewählt haben, müssen Sie sich zunächst am Computer anmelden und das Passwort ändern.

  • Wenn der "Gast"-Account auf dem Windows-Server aktiviert ist, können auf dem Domänen-Controller nicht registrierte Anwender authentifiziert werden. Wenn dieses Konto aktiviert ist, werden Anwender im Adressbuch registriert und können die unter [*Standardgruppe] verfügbaren Funktionen verwenden.

LDAP-Authentifizierung

Elemente

Erklärungen

Verwendbare Version

LDAP Version 2.0/3.0

Authentifizierungsmethode

  • Kerberos-Authentifizierung

  • Digest-Authentifizierung

  • Klartext-Authentifizierung

Wenn Sie die Klartext-Authentifizierung auswählen, ist die vereinfachte LDAP-Authentifizierung aktiviert. Die vereinfachte Authentifizierung kann mit einem Anwenderattribut (wie cn oder uid) anstelle von DN durchgeführt werden.

Anforderungen für die Authentifizierung

  • Zur Verwendung von SSL/TLS muss der Server die Verschlüsselungsmethoden TLS 1.0/1.1/1.2 oder SSL 3.0 unterstützen.

  • In den Werkseinstellungen ist TLS 1.0/SSL 3.0 standardmäßig deaktiviert. Zur Verwendung von TLS 1.0/SSL 3.0 aktivieren Sie TLS 1.0/SSL 3.0 im Web Image Monitor.

  • Zur Verwendung der Kerberos-Authentifizierung registrieren Sie den Bereich, um die Netzwerkumgebung zu unterscheiden.

    Programmieren des Bereichs

  • Die Übertragung von Daten zwischen dem Gerät und dem KDC-Server (Key Distribution Center) muss verschlüsselt werden, wenn die Kerberos-Authentifizierung aktiviert ist.

    Verschlüsseln der Netzwerkkommunikation

  • Unter LDAP können Sie nur mit Version 3.0 Digest-Authentifizierung verwenden.

Hinweise zur Konfiguration des LDAP-Servers mittels Active Directory

  • Wenn Kerberos-Authentifizierung zusammen mit SSL/TLS aktiviert ist, kann die E-Mail-Adresse nicht abgerufen werden.

  • Anonyme Authentifizierung kann verfügbar sein. Zur Verbesserung der Sicherheit deaktivieren Sie die anonyme Authentifizierung.

Hinweis

  • Auch wenn Sie die authentifizierten Informationen eines Anwenders wie z. B. eine E-Mail-Adresse im Adressbuch des Geräts bearbeiten, kann diese durch die Informationen auf dem Server überschrieben werden, wenn die Authentifizierung ausgeführt wird.

  • Bei der LDAP-Authentifizierung können Sie keine Zugriffsbeschränkungen für auf dem Server registrierte Gruppen festlegen.

  • Wenn das Gerät das erste mal verwendet wird, kann der Anwender "Verfügbare Funktionen" wie unter [Anwender-Authent.verwaltung] festgelegt verwenden.

  • Zur Festlegung von "Verfügbare Funktionen" für jeden Anwender registrieren Sie den Anwender zusammen mit "Verfügbare Funktionen" im Adressbuch oder legen Sie Verfügbare Funktionen im automatisch im Adressbuch gespeicherten Anwender fest.

Installieren des Webserver (IIS) und des "Active Directory Certificate Service"

Installieren Sie den erforderlichen Dienst auf dem Windows-Server, um Anwenderinformationen zu erhalten, die automatisch in Active Directory registriert wird.

Windows Server 2012/2016

1Klicken Sie auf im [Start]-Menü auf [Server-Manager].

2Klicken Sie im Menü [Verwalten] auf [Rollen und Features hinzufügen].

3Auf [Weiter] klicken.

4Wählen Sie [Rollenbasierte oder featurebasierte Installation] und klicken Sie anschließend auf [Weiter].

5Wählen Sie einen Server aus.

6Aktivieren Sie die Kontrollkästchen [Active Directory-Zertifikatdienste] und [Web Server (IIS)] und klicken Sie auf [Weiter].

Wenn eine Bestätigungsmeldung angezeigt wird, klicken Sie auf [Features hinzufügen].

7Wählen Sie die Features, die Sie installieren möchten und klicken Sie anschließend auf [Weiter].

8Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].

9Vergewissern Sie sich, dass unter [Active Directory-Zertifikatdienste] im Bereich Rollendienste die Option [Zertifizierungsstelle] ausgewählt ist, und klicken Sie dann auf [Weiter].

10Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].

Wenn Sie Windows Server 2016 verwenden, fahren Sie mit Schritt 12 fort, nachdem Sie die Inhaltsinformationen gelesen haben.

11Wählen Sie die Rollendienste, die Sie unter [Webserver (IIS] installieren möchten und klicken Sie auf [Weiter].

12Klicken Sie auf [Installieren].

13Klicken Sie nach Abschluss der Installation auf das Benachrichtigungssymbol des Server-Managers und dann auf [Active Directory Certificate Service auf dem Zielserver konfigurieren].

14Auf [Weiter] klicken.

15Klicken Sie im Bereich [Rollendienste] auf [Zertifizierungsstelle] und anschließend auf [Weiter].

16Wählen Sie [Unternehmenszertifizierungsstelle] und klicken Sie anschließend auf [Weiter].

17Wählen Sie [Stammzertifizierungsstelle] und klicken Sie auf [Weiter].

18Wählen Sie [Neuen privaten Schlüssel erstellen] und klicken Sie auf [Weiter].

19Wählen Sie einen Kryptografiedienstanbieter, die Schlüssellänge und einen Hash-Algorithmus zur Erstellung eines neuen privaten Schlüssels und klicken Sie auf [Weiter].

20Geben Sie unter "Allgemeiner Name dieser Zertifizierungsstelle:" den Namen der Zertifizierungsstelle ein und klicken Sie auf [Weiter].

21Wählen Sie den Gültigkeitszeitraum aus und klicken Sie auf [Weiter].

22Übernehmen Sie die Standardeinstellungen für "Ort der Zertifikatdatenbank:" und "Ort des Zertifikatdatenbankprotokolls:" und klicken Sie auf [Weiter].

23Klicken Sie auf [Konfigurieren].

24Wenn die Meldung zur erfolgreichen Konfiguration angezeigt wird, klicken Sie auf [Schließen].

Windows Server 2008 R2

1Zeigen Sie im Menü "Start" auf "Verwaltung" und starten Sie den Server-Manager.

2Klicken Sie in der linken Spalte auf [Rollen]. Klicken Sie dann im Menü "Aktion" auf [Rollen hinzufügen].

3Auf [Weiter] klicken.

4Aktivieren Sie die Kontrollkästchen "Webserver (IIS)" und "Active Directory-Zertifikatdienste" und klicken Sie auf [Weiter].

Wenn eine Bestätigungsmeldung angezeigt wird, klicken Sie auf [Features hinzufügen].

5Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].

6Überprüfen Sie [Zertifizierungsstelle] und klicken Sie auf [Weiter].

7Wählen Sie "Enterprise" und klicken Sie auf [Weiter].

8Wählen Sie "Stammzertifizierungsstelle" und klicken Sie auf [Weiter].

9Wählen Sie "Neuen privaten Schlüssel erstellen" und klicken Sie auf [Weiter].

10Wählen Sie einen Kryptografiedienstanbieter, die Schlüssellänge und einen Hash-Algorithmus zur Erstellung eines neuen privaten Schlüssels und klicken Sie auf [Weiter].

11Geben Sie unter "Allgemeiner Name dieser Zertifizierungsstelle:" den Namen der Zertifizierungsstelle ein und klicken Sie auf [Weiter].

12Wählen Sie den Gültigkeitszeitraum aus und klicken Sie auf [Weiter].

13Übernehmen Sie die Standardeinstellungen für "Ort der Zertifikatdatenbank:" und "Ort des Zertifikatdatenbankprotokolls:" und klicken Sie auf [Weiter].

14Lesen Sie die Hinweise und klicken Sie auf [Weiter].

15Wählen Sie die zu installierenden Rollendienste und klicken Sie auf [Weiter].

16Klicken Sie auf [Installieren].

Die Installation der hinzugefügten Funktionen beginnt.

Erstellen eines Serverzertifikats

Zur Verschlüsselung der Anwenderinformationen erstellen Sie ein Serverzertifikat auf dem Windows-Server. Windows Server 2016 R2 wird als Beispiel verwendet.

1Klicken Sie im Menü [Start] auf [Alle Anwendungen] und klicken Sie unter [Verwaltung] auf [Internetinformationsdienste-Manager].

2Klicken Sie in der linken Spalte auf [Servername] und klicken Sie anschließend doppelt auf [Serverzertifikat].

3Klicken Sie in der rechten Spalte auf [Zertifikatanforderung erstellen...].

4Geben Sie alle Informationen ein und klicken Sie auf [Weiter].

5Wählen Sie im Feld "Kryptographischer Dienstanbieter:" einen Dienstanbieter aus und klicken Sie auf [Weiter].

6Klicken Sie auf [...] und geben Sie einen Dateinamen für die Zertifikatanforderung an.

7Geben Sie an, in welchem Verzeichnis die Datei gespeichert werden soll und klicken Sie auf [Öffnen].

8Klicken Sie auf [Fertig stellen].