Guia de l'usuariP 800/801

#0141

AnteriorSegüent

Com preparar el servidor per a l'autenticació d'usuaris

Quan feu servir l'autenticació Windows o LDAP com a mètode d'autenticació de l'usuari per primer cop, comproveu que l'entorn del vostre servidor compleixi els requisits d'autenticació de l'usuari i configureu els paràmetres necessaris.

Per fer servir l'autenticació de Windows

Prepareu el servidor de la manera següent:

  1. Comproveu els requisits de l'autenticació de Windows.

  2. Instal·leu el servidor web (IIS) i "Active Directory Certificate Service" (Servei de Certificat de Directori Actiu) al servidor.

  3. Creeu un certificat de servidor.

    No necessiteu crear cap certificat de servidor per transmetre la informació de l'usuari que no sigui xifrada.

Per fer servir l'autenticació LDAP

Comproveu els requisits de l'autenticació LDAP i configureu-ne els paràmetres segons l'entorn del servidor segons sigui necessari.

Requisits d'autenticació del servidor utilitzat per autenticar usuaris

Autenticació Windows

Ítems

Explicació

Sistema operatiu utilitzable

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Per fer servir l'autenticació Kerberos a Windows Server 2008, instal·leu el Service Pack 2 o una versió posterior.

Mètode d'autenticació

Admet els mètodes d'autenticació següents:

  • Autenticació NTLM (NTLMv1/NTLMv2)

  • Autenticació Kerberos

Per definir l'autenticació Kerberos, el servidor que autentiqui els usuaris ha d'admetre l'autenticació Kerberos. Si el servidor no l'admet, se selecciona automàticament l'autenticació NTLM.

Requisits per a l'autenticació

  • Configureu un controlador de domini al domini que definiu.

  • Per obtenir informació d'usuari quan s'executa Active Directory, utilitzeu LDAP. Es recomana que la comunicació sigui xifrada entre la màquina i el servidor LDAP mitjançant SSL/TLS. Cal que el servidor admeti els mètodes de xifratge TLS 1.0/1.1/1.2 o SSL 3.0. Enregistreu el certificat del servidor del controlador del domini per endavant.

    Creació d'un certificat de servidor

  • TLS 1.0/SSL 3.0 estan desactivats a la configuració per defecte de fàbrica. Per fer servir TLS 1.0/SSL 3.0, definiu TLS 1.0/SSL 3.0 per habilitar-lo a Web Image Monitor.

  • La transmissió de dades entre la màquina i el servidor KDC (Centre de Distribució de Claus) ha d'estar xifrada si es permet l'autenticació Kerberos.

    Com xifrar la comunicació de la xarxa

Nota

  • El servidor pot autenticar usuaris gestionats en altres dominis, però no pot obtenir informació d'usuari.

  • Fins i tot si editeu la informació d'un usuari autenticat a la llibreta d'adreces de la màquina, aquesta informació es podria sobreescriure amb la informació procedent del servidor quan es realitzi l'autenticació.

  • Si vau crear un nou usuari en el controlador de dominis i vau seleccionar "User must change password at next logon" (L'usuari ha de canviar la contrasenya en el pròxim inici de sessió) a la configuració de la contrasenya, inicieu sessió abans a l'ordinador i canvieu la contrasenya.

  • Si s'ha activat el compte "convidat" al servidor de Windows, fins i tot es poden autenticar els usuaris que no estiguin registrats al controlador del domini. Quan s'habiliti aquest compte, els usuaris es registraran a la llibreta d'adreces i podran fer servir les funcions disponibles a "*Grup per defecte".

Autenticació LDAP

Ítems

Explicacions

Versió utilitzable

Versió LDAP 2.0/3.0

Mètode d'autenticació

  • Autenticació Kerberos

  • Autenticació Digest

  • Autenticació de text sense xifrar

Quan seleccioneu l'autenticació sense xifratge, s'habilita l'autenticació LDAP simplificada. L'autenticació simplificada es pot dur a terme amb un atribut d'usuari (com ara cn o uid) en comptes del DN.

Requisits per a l'autenticació

  • Per fer servir SSL/TLS, el servidor ha d'admetre els mètodes de xifratge TLS 1.0/1.1/1.2 o SSL 3.0.

  • TLS 1.0/SSL 3.0 estan desactivats a la configuració per defecte de fàbrica. Per fer servir TLS 1.0/SSL 3.0, definiu TLS 1.0/SSL 3.0 per habilitar-lo a Web Image Monitor.

  • Per fer servir l'autenticació Kerberos, enregistreu el domini per distingir l'àrea de la xarxa.

    Guia de l'usuari (versió completa) en anglès

  • La transmissió de dades entre la màquina i el servidor KDC (Centre de Distribució de Claus) ha d'estar xifrada si es permet l'autenticació Kerberos.

    Com xifrar la comunicació de la xarxa

  • Quan feu servir LDAP, només la versió 3.0 pot fer servir l'autenticació Digest.

Notes per a la configuració del servidor LDAP mitjançant l'Active Directory.

  • L'autenticació anònima podria estar disponible. Per tal de millorar la seguretat, establiu l'autenticació anònima com a Desactivada.

Nota

  • Fins i tot si editeu la informació d'un usuari autenticat a la llibreta d'adreces de la màquina, aquesta informació es podria sobreescriure amb la informació procedent del servidor quan es realitzi l'autenticació.

  • Amb l'autenticació LDAP no podeu especificar el límit d'accés per als grups registrats al servidor.

  • No feu servir caràcters de doble byte del japonès, xinès tradicional, xinès simplificat o coreà quan introduïu el nom d'usuari o contrasenya d'inici de sessió. Si feu servir caràcters de doble byte, no us podreu autenticar amb Web Image Monitor.

  • En l'autenticació LDAP, si el paràmetre "Autenticació anònima" del servidor LDAP no es troba en la posició Prohibeix, els usuaris que no disposin d'un compte al servidor LDAP poden accedir al servidor.

  • Quan feu servir la màquina per primer cop, l'usuari pot fer servir "Funcions disponibles" definides a [Gestió autenticació d'usuaris].

  • Per especificar "Funcions disponibles" per a cada usuari, enregistreu l'usuari juntament amb "Funcions disponibles" a la llibreta d'adreces o definiu les funcions disponibles a l'usuari enregistrat automàticament a la llibreta d'adreces.

Com instal·lar el servidor web (IIS) i el "Active Directory Certificate Service" (Servei de Certificat de Directori Actiu)

Per tal d'obtenir informació de l'usuari enregistrada a Active Directory automàticament, instal·leu el servei necessari al servidor de Windows.

Windows Server 2012/2016

1Al menú [Inici], feu clic a [Administrador del servidor].

2Al menú [Administra], feu clic a [Add Roles and Features] (Afegeix funcions i característiques).

3Feu clic a [Següent].

4Seleccioneu [Role-based or feature-based installation] (Instal·lació basada en funcions o basada en característiques) i feu clic a [Següent].

5Seleccioneu un servidor.

6Marqueu les caselles de selecció [Active Directory Certificate Service] (Servei de certificació de l'Active Directory) i [Web Server (IIS)] (Servidor web (IIS)) i feu clic a [Següent].

Si apareix un missatge de confirmació, feu clic a [Afegeix característiques].

7Seleccioneu les característiques que vulgueu instal·lar i feu clic a [Següent].

8Llegiu la informació del contingut i feu clic a [Següent].

9Assegureu-vos que [Autoritat de certificació] estigui seleccionat a l'àrea Role Services (Serveis de funcions) a Active Directory Certificate Services (Serveis de certificat de l'Active Directory) i feu clic a [Següent].

10Llegiu la informació del contingut i feu clic a [Següent].

Quan feu servir Windows Server 2016, dirigiu-vos al Pas 12 després de llegir-ne el contingut.

11Seleccioneu els serveis de funcions que vulgueu instal·lar a Servidor Web (IIS) i feu clic a [Següent].

12Feu clic a [Instal·la].

13Un cop s'hagi completat la instal·lació, feu clic a la icona de notificacions de l'administrador del servidor i feu clic a [Configure Active Directory Certificate Service on the destination server] (Configura el servei de certificació de l'Active Directory al servidor de destinació).

14Feu clic a [Següent].

15Comproveu [Certification Authority] (Autoritat de certificació) al servei de rols i feu clic a [Següent].

16Seleccioneu [Enterprise CA] (Entitat emissora de certificats d'empresa) i feu clic a [Següent].

17Seleccioneu [Root CA] (CA arrel) i feu clic a [Següent].

18Seleccioneu [Create a new private key] (Crear una nova clau privada) i tot seguit cliqueu [Següent].

19Seleccioneu un proveïdor de xifratge, la llargària de la clau i l'algorisme hash per crear una nova clau privada, i feu clic a [Següent].

20A "Crear una nova clau privada" (Nom comú per a aquest CA:), introduïu el nom de l'Autoritat de certificació i feu clic a [Següent].

21Seleccioneu el període de validesa i tot seguit feu clic a [Següent].

22Deixeu "Certificate database location:" (Ubicació de la base de dades del certificat:) i "Certificate database log location:" (Ubicació del registre de la base de dades del certificat:) sense canvis i feu clic a [Següent].

23Feu clic a [Configure] (Configura).

24Quan es mostri el missatge "Configuration succeeded" (Configuració satisfactòria), feu clic a [Tanca].

Windows Server 2008 R2

1Al menú "Inici", seleccioneu "Eines d'administració" i inicieu l'administrador del servidor.

2Feu clic a [Roles] (Funcions) a la columna esquerra i després a [Add Roles] (Afegeix funcions) al menú "Acció".

3Feu clic a [Següent].

4Seleccioneu les caselles de verificació "Web Server (IIS)" (Servidor web (IIS)) i "Active Directory Certificate Services" (Serveis de certificació d'Active Directory) i feu clic a [Següent].

Si apareix un missatge de confirmació, feu clic a [Afegeix característiques].

5Llegiu la informació del contingut i feu clic a [Següent].

6Comproveu "Certification Authority" (Autoritat de certificació) i feu clic a [Següent].

7Seleccioneu "Enterprise" (Empresa) i feu clic a [Següent].

8Seleccioneu "Root CA" (CA arrel) i feu clic a [Següent].

9Seleccioneu "Create a new private key" (Crear una nova clau privada) i tot seguit cliqueu [Següent].

10Seleccioneu un proveïdor de serveis de xifratge, la llargària de la clau i l'algorisme hash per crear una nova clau privada, i feu clic a [Següent].

11A "Common name for this CA:" (Nom comú per a aquest CA:), introduïu el nom de l'Autoritat de certificació i feu clic a [Següent].

12Seleccioneu el període de validesa i tot seguit feu clic a [Següent].

13Deixeu "Certificate database location:" (Ubicació de la base de dades del certificat:) i "Certificate database log location:" (Ubicació del registre de la base de dades del certificat:) sense canvis i després cliqueu [Següent].

14Llegiu les notes i feu clic a [Següent].

15Seleccioneu els serveis de funcions per instal·lar i després cliqueu [Següent].

16Feu clic a [Instal·la].

Comença la instal·lació de característiques afegides.

Creació d'un certificat de servidor

Per xifrar informació de l'usuari, creeu un certificat del servidor al servidor Windows. Windows Server 2016 es fa servir com a exemple.

1Al menú [Inici], cliqueu [Totes les aplicacions] i després [Internet Information Service (IIS) Manager] (Administrador de servei d'informació d'Internet (IIS)) a [Eines d'administració].

2A la columna esquerra, cliqueu [Server Name] (Nom del servidor) i feu doble clic a [Server Certificate] (Certificat del servidor).

3A la columna dreta, feu clic a [Create Certificate Request...] (Crea sol·licitud de certificat...).

4Introduïu tota la informació i després feu clic a [Següent].

5A "Cryptographic service provider:" (Proveïdor de serveis de xifratge:), seleccioneu un proveïdor i feu clic a [Següent].

6Feu clic a [...] i especifiqueu un nom de fitxer per a la sol·licitud del certificat.

7Especifiqueu una ubicació on voleu desar el fitxer i, a continuació, feu clic a [Obre].

8Feu clic a [Finalitza].

Inici Guia d'usuariPàgina d'inici>Seguretat>Com preparar el servidor per a l'autenticació d'usuaris
Com utilitzar aquest manual
Amunt

Copyright © 2019

Amunt