Przygotowywanie serwera do użycia funkcji uwierzytelniania użytkownika
W przypadku, gdy uwierzytelnianie systemu Windows lub uwierzytelnianie LDAP jest używane po raz pierwszy, należy się upewnić, że środowisko serwera spełnia wymagania dotyczące uwierzytelniania użytkowników, oraz skonfigurować wymagane ustawienia.
Korzystanie z uwierzytelniania systemu Windows
Serwer należy przygotować w następujący sposób:
Sprawdź wymagania dotyczące uwierzytelniania systemu Windows.
Zainstaluj na serwerze moduł serwera sieci Web (IIS) oraz „Usługi certyfikatów Active Directory”.
Utwórz nowy certyfikat serwera.
Tworzenie certyfikatu nie jest wymagane na potrzeby przesyłania informacji o użytkowniku, które nie są szyfrowane.
Korzystanie z uwierzytelniania LDAP
Sprawdź wymagania dotyczące uwierzytelniania LDAP i skonfiguruj ustawienia zgodnie ze środowiskiem serwera.
Wymagania dotyczące uwierzytelniania serwera na potrzeby uwierzytelniania użytkowników
Pozycje | Wyjaśnienie |
---|---|
System operacyjny | Serwer Windows 2008/2008 R2/2012/2012 R2/2016/2019
|
Metoda autoryzacji | Obsługiwane są następujące metody uwierzytelniania:
W celu określenia uwierzytelniania Kerberos serwer służący do uwierzytelniania użytkowników musi obsługiwać ten rodzaj uwierzytelniania. Jeśli serwer nie obsługuje uwierzytelniania Kerberos, automatycznie wybierane jest uwierzytelnianie NTLM. |
Wymagania dotyczące uwierzytelniania |
|
Serwer może uwierzytelniać użytkowników zarządzanych w innych domenach, ale nie może uzyskiwać informacji, takich jak adres e-mail.
Przy włączonym uwierzytelnianiu Kerberos nie można uzyskać adres u e-mail w przypadku określenia szyfrowania SSL/TLS.
Informacje na temat uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Jeżeli w kontrolerze domeny został utworzony nowy użytkownik i przy konfiguracji hasła zaznaczona została opcja konieczności zmiany hasła przy następnym logowaniu, należy najpierw zalogować się do komputera i zmienić hasło.
Jeśli na serwerze Windows zostało włączone konto „Gość”, mogą być autoryzowani także użytkownicy niezarejestrowani w kontrolerze domeny. Jeśli konto to jest włączone, użytkownicy rejestrowani są w książce adresowej i mogą korzystać z funkcji dostępnych dla grupy [*Domyślna grupa].
Pozycje | Objaśnienia |
---|---|
Używana wersja | LDAP 2.0/3.0 |
Metoda autoryzacji |
W przypadku wybrania uwierzytelniania Cleartext zostanie włączone uproszczone uwierzytelnianie LDAP. Uproszczone uwierzytelnianie może być wykonywane przy użyciu atrybutu użytkownika (np. cn lub uid) zamiast DN. |
Wymagania dotyczące uwierzytelniania |
|
Uwagi dotyczące skonfigurowania serwera LDAP przy użyciu usługi Active Directory
Przy włączonym uwierzytelnianiu Kerberos oraz szyfrowaniu SSL/TLS nie można uzyskać adresu e-mail.
Uwierzytelnianie anonimowe może być dostępne. W celu zwiększenia bezpieczeństwa należy wyłączyć uwierzytelnianie anonimowe.
Informacje na temat uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Przy uwierzytelnianiu LDAP nie można określić ograniczeń dostępu dla grup zarejestrowanych na serwerze.
Podczas pierwszego użycia urządzenia użytkownik może korzystać z opcji „Dostępne funkcje” określonych w obszarze [Zarządzanie autoryzacją użytkownika].
Aby określić opcje „Dostępne funkcje” dla poszczególnych użytkowników, należy ich zarejestrować wraz ustawieniami „Dostępne funkcje” w książce adresowej lub określić dostępne funkcje dla użytkowników rejestrowanych automatycznie w książce adresowej.
Instalowanie Serwera sieci Web (IIS) oraz „Usług certyfikatów Active Directory”
Zainstalowanie wymaganej usługi na serwerze systemu Windows pozwala automatycznie uzyskiwać informacje o użytkownikach zarejestrowanych w usłudze Active Directory.
Windows Server 2012/2016
W menu [Start] kliknij opcję [Menedżer serwera].
W menu [Zarządzaj] kliknij polecenie [Dodaj role i funkcje].
Kliknij przycisk [Dalej].
Wybierz opcję [Instalacja oparta na rolach lub oparta na funkcjach] i kliknij przycisk [Dalej].
Wybierz serwer.
Zaznacz pola wyboru [Usługi certyfikatów Active Directory] i [Serwer sieci Web (IIS)], a następnie kliknij przycisk [Dalej].
Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].
Zaznacz funkcje, które chcesz zainstalować, i kliknij przycisk [Dalej].
Przeczytaj informacje, a następnie kliknij przycisk [Dalej].
Upewnij się, że w oknie [Usługi certyfikatów Active Directory] w obszarze [Usługi ról] jest zaznaczone pole [Urząd certyfikacji], i kliknij przycisk [Dalej].
Przeczytaj informacje, a następnie kliknij przycisk [Dalej].
W przypadku korzystania z systemu Windows Server 2016 przejdź do kroku 12 po zapoznaniu się z informacjami.
Zaznacz usługi ról, które chcesz zainstalować obszarze [Serwer sieci Web (IIS)], i kliknij przycisk [Dalej].
Kliknij na [Instaluj].
Po zakończeniu instalacji kliknij ikonę powiadomień menedżera serwera, a następnie opcję [Konfiguruj usługi certyfikatów Active Directory na serwerze docelowym].
Kliknij przycisk [Dalej].
Kliknij opcję [Urząd certyfikacji] w obszarze usługi roli i kliknij przycisk [Dalej].
Wybierz opcję [Urząd certyfikacji przedsiębiorstwa] i kliknij przycisk [Dalej].
Wybierz opcję [Główny urząd certyfikacji], a następnie kliknij przycisk [Dalej].
Wybierz opcję [Utwórz nowy klucz prywatny], a następnie kliknij przycisk [Dalej].
Wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu, które zostaną użyte do utworzenia nowego klucza prywatnego, a następnie kliknij przycisk [Dalej].
W polu "Nazwa pospolita tego urzędu certyfikacji:” podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].
Wybierz okres ważności, a następnie kliknij przycisk [Dalej].
Pozostaw opcje „Lokalizacja bazy danych certyfikatów:” i „Lokalizacja dziennika bazy danych certyfikatów:” bez zmian, a następnie kliknij przycisk [Dalej].
Kliknij przycisk [Konfiguruj].
Po wyświetleniu komunikatu „Konfigurowanie powiodło się” kliknij przycisk [Zamknij].
Windows Server 2008 R2
W menu [Start] wskaż pozycję [Narzędzia administracyjne], a następnie uruchom menedżera serwera.
Kliknij opcję [Role] w lewej kolumnie, a następnie kliknij polecenie [Dodaj role] w menu [Akcja].
Kliknij przycisk [Dalej].
Zaznacz pola wyboru „Serwer sieci Web (IIS)” i „Usługi certyfikatów Active Directory”, a następnie kliknij przycisk [Dalej].
Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].
Przeczytaj informacje, a następnie kliknij przycisk [Dalej].
Wybierz opcję „Urząd certyfikacji”, a następnie kliknij przycisk [Dalej].
Wybierz opcję „Przedsiębiorstwo”, a następnie kliknij przycisk [Dalej].
Wybierz opcję „Główny urząd certyfikacji”, a następnie kliknij przycisk [Dalej].
Wybierz opcję „Utwórz nowy klucz prywatny”, a następnie kliknij przycisk [Dalej].
Wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu, które zostaną użyte do utworzenia nowego klucza prywatnego, a następnie kliknij przycisk [Dalej].
W polu „Nazwa pospolita tego urzędu certyfikacji:” podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].
Wybierz okres ważności, a następnie kliknij przycisk [Dalej].
Pozostaw opcje „Lokalizacja bazy danych certyfikatów:” i „Lokalizacja dziennika bazy danych certyfikatów:” bez zmian, a następnie kliknij przycisk [Dalej].
Przeczytaj uwagi, a następnie kliknij przycisk [Dalej].
Wybierz usługi ról do zainstalowania i kliknij przycisk [Dalej].
Kliknij na [Instaluj].
Rozpocznie się instalacja dodanych funkcji.
Tworzenie certyfikatu serwera
Aby szyfrować informacje dotyczące użytkowników, utwórz certyfikat serwera na serwerze Windows. Na potrzeby przykładu użyto systemu Windows Server 2016.
W menu [Start] kliknij kolejno opcję [Wszystkie aplikacje] i [Narzędzia administracyjne], a następnie kliknij opcję [Menedżer usług Internet Information Services (IIS)].
W lewej kolumnie kliknij opcję [Nazwa serwera], a następnie kliknij dwukrotnie pozycję [Certyfikat serwera].
W prawej kolumnie kliknij polecenie [Utwórz żądanie certyfikatu...].
Wprowadź wszystkie informacje, a następnie kliknij przycisk [Dalej].
W polu "Dostawca usług kryptograficznych:" wybierz dostawcę, a następnie kliknij przycisk [Następny].
Kliknij przycisk [...], a następnie podaj nazwę pliku żądania certyfikatu.
Wybierz miejsce, gdzie plik ma zostać zapisany, a następnie kliknij przycisk [Otwórz].
Kliknij [Zakończ].