BrugervejledningIM 2702

#0187

ForrigeNæste

Forberedelse af serveren til brug ved brugergodkendelse

Når du bruger Windows-godkendelse eller LDAP-godkendelse som brugergodkendelsesmetode for første gang, skal du kontrollere, at dit servermiljø opfylder kravene til brugergodkendelse, og konfigurere de ønskede indstillinger.

Sådan bruger du Windows-godkendelse

Forbered serveren som følger:

  1. Kontrollér kravene til Windows-godkendelse.

  2. Installer webserveren (IIS) og "Active Directory-certifikattjenesten" på serveren.

  3. Opret et servercertifikat.

    Du behøver ikke oprette et servercertifikat for at overføre brugeroplysninger, der ikke er krypterede.

Sådan bruger du LDAP-godkendelse

Kontrollér kravene til LDAP-godkendelse, og konfigurer indstillingerne i overensstemmelse med servermiljøet efter behov.

Kravene til servergodkendelse anvendt til brugergodkendelse

Windows-godkendelse

Indstilling

Forklaring

Brugbart OS

Windows-server 2008/2008 R2/2012/2012 R2/2016/2019

  • For at bruge Kerberos-godkendelse under Windows Server 2008 skal Service Pack 2 eller en nyere version installeres.

Godkendelsesmetoder

Understøtter følgende godkendelsesmetoder:

  • NTLM-godkendelse (NTLMv1/NTLMv2)

  • Kerberos-godkendelse

For at angive Kerberos-godkendelse skal den server, der godkender brugere, understøtte Kerberos-godkendelse. Hvis serveren ikke understøtter det, vælges NTLM-godkendelse automatisk.

Krav for godkendelse

  • Konfigurer en domænecontroller på det domæne, du angiver.

  • Brug LDAP til at indhente brugeroplysninger, når Active Directory køres. Det anbefales, at kommunikation krypteres mellem maskinen og LDAP-serveren ved hjælp af SSL/TLS. Serveren skal understøtte TLS1.0/1.1/1.2- eller SSL 3.0-krypteringsmetoden. Registrer servercertifikatet for domænecontrolleren på forhånd.

    Oprettelse af et servercertifikat

  • TLS1.0/SSL 3.0 er deaktiveret i fabriksindstillingen. For at bruge TLS1.0/SSL 3.0 skal du angive TLS1.0/SSL 3.0 for at aktivere på Web Image Monitor.

  • Dataoverførsel mellem maskinen og KDC-serveren (Key Distribution Center) skal krypteres, hvis Kerberos-godkendelse er aktiveret.

    Kryptering af netværkskommunikation

Bemærk

  • Serveren kan godkende brugere administreret på andre domæner, men kan ikke indhente oplysninger som f.eks. en e-mailadresse.

  • Hvis Kerberos-godkendelse er aktiveret, kan e-mailadressen ikke hentes, hvis SSL/TLS er angivet.

  • Selv hvis du redigerer en godkendt brugers oplysninger, f.eks. en e-mailadresse, i maskinens adressebog, overskrives den muligvis af oplysningerne fra serveren, når godkendelse udføres.

  • Hvis du oprettede en ny bruger i domænecontrolleren og valgte "Bruger skal ændre password ved næste logon" ved konfiguration af password, skal du først logge på computeren og ændre passwordet.

  • Hvis gæstekontoen i Windows-serveren er aktiveret, kan brugere, der ikke er registreret i domænecontrolleren, blive godkendt. Når denne konto er aktiveret, registreres brugere i adressebogen og kan bruge de funktioner, der er tilgængelige under [*Standardgruppe].

LDAP-godkendelse

Indstilling

Forklaringer

Brugbar version

LDAP-version 2.0/3.0

Godkendelsesmetoder

  • Kerberos-godkendelse

  • Digest-godkendelse

  • Godkendelse med almindelig tekst

Når du vælger godkendelse med almindelig tekst, aktiveres forenklet LDAP-godkendelse. Forenklet godkendelse kan udføres med en brugerattribut (som f.eks. cn eller uid) i stedet for DN'en.

Krav for godkendelse

  • For at bruge SSL/TLS skal serveren understøtte krypteringsmetoden TLS1.0/1.1/1.2 eller SSL 3.0.

  • TLS1.0/SSL 3.0 er deaktiveret i fabriksindstillingen. For at bruge TLS1.0/SSL 3.0 skal du angive TLS1.0/SSL 3.0 for at aktivere på Web Image Monitor.

  • For at bruge Kerberos-godkendelse skal du registrere domænet for at finde netværksområdet.

    Brugervejledning (komplet version) på engelsk

  • Dataoverførsel mellem maskinen og KDC-serveren (Key Distribution Center) skal krypteres, hvis Kerberos-godkendelse er aktiveret.

    Kryptering af netværkskommunikation

  • Når du bruger LDAP, er det kun version 3.0, der kan bruge Digest-godkendelse.

Noterer, når LDAP-serveren er konfigureret ved hjælp af Active Directory

  • Når Kerberos-godkendelse er aktiveret sammen med SSL/TLS, kan e-mailadressen ikke hentes.

  • Anonym godkendelse kan være tilgængelig. Indstil den anonyme godkendelse til deaktiveret for at forbedre sikkerheden.

Bemærk

  • Selv hvis du redigerer en godkendt brugers oplysninger, f.eks. en e-mailadresse, i maskinens adressebog, overskrives den muligvis af oplysningerne fra serveren, når godkendelse udføres.

  • Under LDAP-godkendelse kan du ikke angive adgangsbegrænsninger for grupper, der er registreret på serveren.

  • Når maskinen bruges første gang, kan brugeren anvende "Tilgængelige funktioner" angivet i [Styring af brugergodkendelse].

  • For at angive "Tilgængelige funktioner" for hver bruger skal brugeren registreres sammen med "Tilgængelige funktioner" i adressebogen, eller tilgængelige funktioner skal angives i den bruger, der automatisk er registreret i adressebogen.

Installation af webserveren (IIS) og "Active Directory-certifikattjeneste"

Installer den ønskede tjeneste på Windows-serveren for automatisk at hente brugeroplysninger, der er registreret i Active Directory.

Windows Server 2012/2016

1Klik på [Serverstyring] i menuen [Start].

2Klik på [Tilføj roller og funktioner] i menuen [Administrer].

3Klik på [Næste].

4Vælg [Rollebaseret eller funktionsbaseret installation], og klik derefter på [Næste].

5Vælg en server.

6Markér afkrydsningsfelterne [Active Directory-certifikattjeneste] og [Web Server (IIS)], og klik på [Næste].

Hvis der vises en bekræftelsesmeddelelse, skal du klikke på [Tilføj funktioner].

7Markér de funktioner, der skal installeres, og klik på [Næste].

8Læs indholdet, og klik på [Næste].

9Kontrollér, at [Nøglecenter] er valgt under rolletjenesterne i Active Directory-certifikattjenester, og klik på [Næste].

10Læs indholdet, og klik på [Næste].

Hvis du bruger Windows Server 2016, skal du fortsætte til trin 12 efter at have læst indholdet.

11Markér de rolletjenester, der skal installeres, under webserveren (IIS), og klik på [Næste].

12Klik på [Installér].

13Når installationen er gennemført, skal du klikke på meddelelsesikonet for serverstyringen og derefter på funktionen til konfiguration af Active Directory-certifikattjeneste på destinationsserveren.

14Klik på [Næste].

15Kontrollér [Nøglecenter] i rolletjenesterne, og klik på [Næste].

16Vælg [Virksomhedsnøglecenter], og klik på [Næste].

17Vælg [Rodnøglecenter], og klik på [Næste].

18Vælg [Opret en ny privat nøgle], og klik på [Næste].

19Vælg en kryptografisk udbyder, nøglelængde og hash-algoritme for at oprette en ny privat nøgle, og klik på [Næste].

20Indtast navnet på nøglecenteret i "Fælles navn for dette nøglecenter:", og klik på [Næste].

21Vælg en gyldighedsperiode, og klik på [Næste].

22Undlad at ændre "Certifikatdatabaseplacering:" og "Certifikatdatabaselogplacering:", og klik derefter på [Næste].

23Klik på [Konfigurer].

24Hvis der vises en meddelelse om, at konfigurationen er gennemført, skal du klikke på [Luk].

Windows Server 2008 R2

1Peg på "Administrative værktøjer" i menuen [Start], og start derefter serverstyringen.

2Klik på [Roller] i venstre kolonne, og klik på [Tilføj roller] i menuen "Handling".

3Klik på [Næste].

4Markér afkrydsningsfelterne "Web Server (IIS)" og "Active Directory-certifikattjenester", og klik på [Næste].

Hvis der vises en bekræftelsesmeddelelse, skal du klikke på [Tilføj funktioner].

5Læs indholdet, og klik på [Næste].

6Klik på "Nøglecenter", og klik derefter på [Næste].

7Vælg "Virksomhed", og klik på [Næste].

8Vælg "Rodnøglecenter", og klik på [Næste].

9Vælg "Opret en ny privat nøgle", og klik på [Næste].

10Vælg en kryptografisk tjenesteudbyder, nøglelængde og hash-algoritme for at oprette en ny privat nøgle, og klik på [Næste].

11Indtast navnet på nøglecenteret i "Fælles navn for dette nøglecenter:", og klik på [Næste].

12Vælg en gyldighedsperiode, og klik på [Næste].

13Undgå at ændre "Certifikatdatabaseplacering:" og "Certifikatdatabaselogplacering:", og klik derefter på [Næste].

14Læs bemærkningerne, og klik på [Næste].

15Vælg de rolletjenester, der skal installeres, og klik derefter på [Næste].

16Klik på [Installér].

Installation af ekstra funktioner starter.

Oprettelse af et servercertifikat

For at kryptere brugeroplysninger skal du oprette et servercertifikat på Windows-serveren. Windows Server 2016 bruges som eksempel.

1Åbn menuen [Start], peg på [Administrative værktøjer], og klik på [Internet Information Services (IIS) Manager].

2I venstre kolonne skal du klikke på [Servernavn] og derefter dobbeltklikke på [Servercertifikat].

3Klik på [Opret anmodning om certifikat...] i højre kolonne.

4Indtast alle oplysninger, og klik på [Næste].

5Vælg en udbyder i "Cryptographic service provider:" (program til kryptografiske tjenester), og klik på [Næste].

6Klik på [...], og angiv derefter et filnavn for certifikatanmodningen.

7Angiv en placering, hvor filen skal gemmes, og klik på [Åbn].

8Klik på [Udfør].

Brugervejledning - TopFørste side>Sikkerhedsvejledning>Forberedelse af serveren til brug ved brugergodkendelse
Sådan bruges denne vejledning
Til toppen

Copyright © 2019

Til toppen