Przygotowywanie serwera do użycia funkcji uwierzytelniania użytkownika

W przypadku, gdy uwierzytelnianie systemu Windows lub uwierzytelnianie LDAP jest używane po raz pierwszy, należy się upewnić, że środowisko serwera spełnia wymagania dotyczące uwierzytelniania użytkowników, oraz skonfigurować wymagane ustawienia.

Korzystanie z uwierzytelniania systemu Windows

Serwer należy przygotować w następujący sposób:

Sprawdź wymagania dotyczące uwierzytelniania systemu Windows.
Zainstaluj na serwerze moduł serwera sieci Web (IIS) oraz „Usługi certyfikatów Active Directory”.
Utwórz nowy certyfikat serwera.
Tworzenie certyfikatu nie jest wymagane na potrzeby przesyłania informacji o użytkowniku, które nie są szyfrowane.

Korzystanie z uwierzytelniania LDAP

Sprawdź wymagania dotyczące uwierzytelniania LDAP i skonfiguruj ustawienia zgodnie ze środowiskiem serwera.

Wymagania dotyczące uwierzytelniania serwera na potrzeby uwierzytelniania użytkowników

Autoryzacja Windows
Pozycje	Wyjaśnienie
System operacyjny	Serwer Windows 2008/2008 R2/2012/2012 R2/2016/2019 Aby używać autoryzacji Kerberos w systemie Windows Server 2008, należy zainstalować dodatek Service Pack 2 lub nowszy.
Metoda autoryzacji	Obsługiwane są następujące metody uwierzytelniania: Uwierzytelnianie NTLM (NTLMv1/NTLMv2) Autoryzacja Kerberos W celu określenia uwierzytelniania Kerberos serwer służący do uwierzytelniania użytkowników musi obsługiwać ten rodzaj uwierzytelniania. Jeśli serwer nie obsługuje uwierzytelniania Kerberos, automatycznie wybierane jest uwierzytelnianie NTLM.
Wymagania dotyczące uwierzytelniania	Skonfiguruj kontroler domeny w określonej domenie. Aby uzyskać informacje o użytkowniku podczas działania usługi Active Directory, użyj katalogu LDAP. Zalecamy szyfrowanie komunikacji między urządzeniem a serwerem LDAP przy użyciu protokołu SSL/TLS. Serwer musi obsługiwać metodę szyfrowania TLS1.0/1.1/1.2 lub SSL 3.0. W pierwszej kolejności zarejestruj certyfikat serwera kontrolera domeny. Tworzenie certyfikatu serwera Szyfrowanie TLS1.0/SSL 3.0 jest domyślnie wyłączone. Aby użyć szyfrowania TLS1.0/SSL 3.0, włącz ustawienie TLS1.0/SSL 3.0 w programie Web Image Monitor. Transmisja danych pomiędzy urządzeniem a serwerem KDC (Key Distribution Center) musi być szyfrowana, jeśli zostało włączone uwierzytelnianie Kerberos. Szyfrowanie komunikacji sieciowej

Serwer może uwierzytelniać użytkowników zarządzanych w innych domenach, ale nie może uzyskiwać informacji, takich jak adres e-mail.
Przy włączonym uwierzytelnianiu Kerberos nie można uzyskać adres u e-mail w przypadku określenia szyfrowania SSL/TLS.
Informacje na temat uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Jeżeli w kontrolerze domeny został utworzony nowy użytkownik i przy konfiguracji hasła zaznaczona została opcja konieczności zmiany hasła przy następnym logowaniu, należy najpierw zalogować się do komputera i zmienić hasło.
Jeśli na serwerze Windows zostało włączone konto „Gość”, mogą być autoryzowani także użytkownicy niezarejestrowani w kontrolerze domeny. Jeśli konto to jest włączone, użytkownicy rejestrowani są w książce adresowej i mogą korzystać z funkcji dostępnych dla grupy [*Domyślna grupa].

Autoryzacja LDAP
Pozycje	Objaśnienia
Używana wersja	LDAP 2.0/3.0
Metoda autoryzacji	Autoryzacja Kerberos Uwierzytelnianie digest Uwierzytelnianie Cleartext W przypadku wybrania uwierzytelniania Cleartext zostanie włączone uproszczone uwierzytelnianie LDAP. Uproszczone uwierzytelnianie może być wykonywane przy użyciu atrybutu użytkownika (np. cn lub uid) zamiast DN.
Wymagania dotyczące uwierzytelniania	W celu skorzystania ze standardu SSL/TLS serwer musi obsługiwać metodę szyfrowania TLS1.0/1.1/1.2 lub SSL 3.0. Szyfrowanie TLS1.0/SSL 3.0 jest domyślnie wyłączone. Aby użyć szyfrowania TLS1.0/SSL 3.0, włącz ustawienie TLS1.0/SSL 3.0 w programie Web Image Monitor. Aby użyć uwierzytelniania Kerberos, zarejestruj dziedzinę w celu wyróżnienia obszaru sieci. Podręcznik użytkownika (pełna wersja) w języku angielskim Transmisja danych pomiędzy urządzeniem a serwerem KDC (Key Distribution Center) musi być szyfrowana, jeśli zostało włączone uwierzytelnianie Kerberos. Szyfrowanie komunikacji sieciowej W przypadku korzystania z LDAP tylko wersja 3.0 umożliwia stosowanie uwierzytelniania Digest.

Uwagi dotyczące skonfigurowania serwera LDAP przy użyciu usługi Active Directory

Przy włączonym uwierzytelnianiu Kerberos oraz szyfrowaniu SSL/TLS nie można uzyskać adresu e-mail.
Uwierzytelnianie anonimowe może być dostępne. W celu zwiększenia bezpieczeństwa należy wyłączyć uwierzytelnianie anonimowe.

Informacje na temat uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Przy uwierzytelnianiu LDAP nie można określić ograniczeń dostępu dla grup zarejestrowanych na serwerze.
Podczas pierwszego użycia urządzenia użytkownik może korzystać z opcji „Dostępne funkcje” określonych w obszarze [Zarządzanie autoryzacją użytkownika].
Aby określić opcje „Dostępne funkcje” dla poszczególnych użytkowników, należy ich zarejestrować wraz ustawieniami „Dostępne funkcje” w książce adresowej lub określić dostępne funkcje dla użytkowników rejestrowanych automatycznie w książce adresowej.

Instalowanie Serwera sieci Web (IIS) oraz „Usług certyfikatów Active Directory”

Zainstalowanie wymaganej usługi na serwerze systemu Windows pozwala automatycznie uzyskiwać informacje o użytkownikach zarejestrowanych w usłudze Active Directory.

Windows Server 2012/2016

W menu [Start] kliknij opcję [Menedżer serwera].

W menu [Zarządzaj] kliknij polecenie [Dodaj role i funkcje].

Kliknij przycisk [Dalej].

Wybierz opcję [Instalacja oparta na rolach lub oparta na funkcjach] i kliknij przycisk [Dalej].

Wybierz serwer.

Zaznacz pola wyboru [Usługi certyfikatów Active Directory] i [Serwer sieci Web (IIS)], a następnie kliknij przycisk [Dalej].

Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].

Zaznacz funkcje, które chcesz zainstalować, i kliknij przycisk [Dalej].

Przeczytaj informacje, a następnie kliknij przycisk [Dalej].

Upewnij się, że w oknie [Usługi certyfikatów Active Directory] w obszarze [Usługi ról] jest zaznaczone pole [Urząd certyfikacji], i kliknij przycisk [Dalej].

Przeczytaj informacje, a następnie kliknij przycisk [Dalej].

W przypadku korzystania z systemu Windows Server 2016 przejdź do kroku 12 po zapoznaniu się z informacjami.

Zaznacz usługi ról, które chcesz zainstalować obszarze [Serwer sieci Web (IIS)], i kliknij przycisk [Dalej].

Kliknij na [Instaluj].

Po zakończeniu instalacji kliknij ikonę powiadomień menedżera serwera, a następnie opcję [Konfiguruj usługi certyfikatów Active Directory na serwerze docelowym].

Kliknij przycisk [Dalej].

Kliknij opcję [Urząd certyfikacji] w obszarze usługi roli i kliknij przycisk [Dalej].

Wybierz opcję [Urząd certyfikacji przedsiębiorstwa] i kliknij przycisk [Dalej].

Wybierz opcję [Główny urząd certyfikacji], a następnie kliknij przycisk [Dalej].

Wybierz opcję [Utwórz nowy klucz prywatny], a następnie kliknij przycisk [Dalej].

Wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu, które zostaną użyte do utworzenia nowego klucza prywatnego, a następnie kliknij przycisk [Dalej].

W polu "Nazwa pospolita tego urzędu certyfikacji:” podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].

Wybierz okres ważności, a następnie kliknij przycisk [Dalej].

Pozostaw opcje „Lokalizacja bazy danych certyfikatów:” i „Lokalizacja dziennika bazy danych certyfikatów:” bez zmian, a następnie kliknij przycisk [Dalej].

Kliknij przycisk [Konfiguruj].

Po wyświetleniu komunikatu „Konfigurowanie powiodło się” kliknij przycisk [Zamknij].

Windows Server 2008 R2

W menu [Start] wskaż pozycję [Narzędzia administracyjne], a następnie uruchom menedżera serwera.

Kliknij opcję [Role] w lewej kolumnie, a następnie kliknij polecenie [Dodaj role] w menu [Akcja].

Kliknij przycisk [Dalej].

Zaznacz pola wyboru „Serwer sieci Web (IIS)” i „Usługi certyfikatów Active Directory”, a następnie kliknij przycisk [Dalej].

Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].

Przeczytaj informacje, a następnie kliknij przycisk [Dalej].

Wybierz opcję „Urząd certyfikacji”, a następnie kliknij przycisk [Dalej].

Wybierz opcję „Przedsiębiorstwo”, a następnie kliknij przycisk [Dalej].

Wybierz opcję „Główny urząd certyfikacji”, a następnie kliknij przycisk [Dalej].

Wybierz opcję „Utwórz nowy klucz prywatny”, a następnie kliknij przycisk [Dalej].

W polu „Nazwa pospolita tego urzędu certyfikacji:” podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].

Wybierz okres ważności, a następnie kliknij przycisk [Dalej].

Pozostaw opcje „Lokalizacja bazy danych certyfikatów:” i „Lokalizacja dziennika bazy danych certyfikatów:” bez zmian, a następnie kliknij przycisk [Dalej].

Przeczytaj uwagi, a następnie kliknij przycisk [Dalej].

Wybierz usługi ról do zainstalowania i kliknij przycisk [Dalej].

Kliknij na [Instaluj].

Rozpocznie się instalacja dodanych funkcji.

Tworzenie certyfikatu serwera

Aby szyfrować informacje dotyczące użytkowników, utwórz certyfikat serwera na serwerze Windows. Na potrzeby przykładu użyto systemu Windows Server 2016.

W menu [Start] kliknij kolejno opcję [Wszystkie aplikacje] i [Narzędzia administracyjne], a następnie kliknij opcję [Menedżer usług Internet Information Services (IIS)].

W lewej kolumnie kliknij opcję [Nazwa serwera], a następnie kliknij dwukrotnie pozycję [Certyfikat serwera].

W prawej kolumnie kliknij polecenie [Utwórz żądanie certyfikatu...].

Wprowadź wszystkie informacje, a następnie kliknij przycisk [Dalej].

W polu "Dostawca usług kryptograficznych:" wybierz dostawcę, a następnie kliknij przycisk [Następny].

Kliknij przycisk [...], a następnie podaj nazwę pliku żądania certyfikatu.

Wybierz miejsce, gdzie plik ma zostać zapisany, a następnie kliknij przycisk [Otwórz].

Kliknij [Zakończ].