Preparazione del server da utilizzare per l'autenticazione utente

Quando si utilizza l'autenticazione Windows o l'autenticazione LDAP come metodo di autenticazione utente per la prima volta, verificare che l'ambiente del server soddisfi i requisiti per l'autenticazione utente e configurare le impostazioni richieste.

Per utilizzare l'autenticazione Windows

Preparare il server come segue:

Verificare i requisiti dell'autenticazione Windows.
Installare il server Web (IIS) e il "Servizio certificati Active Directory" nel server.
Creare un certificato di server.
Non è necessario creare un certificato server per trasmettere informazioni utente non crittografate.

Per utilizzare l'autenticazione LDAP

Verificare i requisiti dell'autenticazione LDAP e configurare le impostazioni a seconda dell'ambiente del server secondo necessità.

Requisiti dell'autenticazione server utilizzata per l'autenticazione utente

Autenticazione Windows
Opzioni	Spiegazione
Sistema operativo utilizzabile	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Per usare l'autenticazione Kerberos in Windows Server 2008, installare Service Pack 2 o successivo.
Metodo di autenticazione	Supporta i seguenti metodi di autenticazione: Autenticazione NTLM (NTLMv1/NTLMv2) Autenticazione Kerberos Per specificare l'autenticazione Kerberos, il server che autentica gli utenti deve supportarla. Se il server non la supporta, l'autenticazione NTLM viene selezionata automaticamente.
Requisiti per l'autenticazione	Impostare un controller di dominio nel dominio specificato. Per ottenere le informazioni sull'utente quando Active Directory è in funzionamento, utilizzare LDAP. Si consiglia di crittografare le comunicazioni tra la macchina e il server LDAP utilizzando SSL/TLS. Il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0. Registrare in anticipo il certificato del server del controller di dominio. Creazione di un certificato del server TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor. Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati. Crittografia della comunicazione di rete

Il server può autenticare utenti gestiti in altri domini, ma non può ottenere informazioni utente.
Anche se vengono modificate le informazioni di un utente autenticato nella rubrica della macchina, queste potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.
Se è stato creato un nuovo utente nel controller di dominio e durante la configurazione password è stato selezionato "L'utente deve cambiare password al prossimo accesso", effettuare l'accesso al computer e poi cambiare password.
Se è abilitato l'account "Guest" nel server di Windows, si possono autenticare utenti non registrati nel controller di dominio. Se questo account è abilitato, gli utenti vengono registrati nella rubrica e possono utilizzare le funzioni disponibili per "*Gruppo predefinito".

Autenticazione LDAP
Opzioni	Spiegazioni
Versione utilizzabile	Versione LDAP 2.0/3.0
Metodo di autenticazione	Autenticazione Kerberos Autenticazione digest Autenticazione Cleartext Se si seleziona l'autenticazione Cleartext, viene abilitata l'autenticazione LDAP semplificata. L'autenticazione semplificata può essere eseguita con un attributo utente (quale cn o uid) al posto del DN.
Requisiti per l'autenticazione	Per utilizzare SSL/TLS, il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0. TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor. Per utilizzare l'autenticazione Kerberos, registrare il dominio per distinguere l'area di rete. Programmazione del realm Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati. Crittografia della comunicazione di rete Quando si utilizza LDAP, solo la versione 3.0 può utilizzare l'autenticazione digest.

Note quando il server LDAP è configurato utilizzando Active Directory

Potrebbe essere disponibile l'autenticazione anonima. Per migliorare la sicurezza, impostare l'autenticazione anonima su Disabilita.

Anche se vengono modificate le informazioni di un utente autenticato nella rubrica della macchina, queste potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.
Nell'autenticazione LDAP non è possibile specificare i limiti di accesso per gruppi registrati nel server.
Non utilizzare un nome utente o una password che contengono caratteri a doppio byte giapponesi, cinesi (tradizionale e semplificato) o hangul. Se si utilizzano caratteri a byte multiplo per il nome utente o la password, non potrà essere eseguita l'autenticazione tramite Web Image Monitor.
Con l'autenticazione LDAP, se l'"Autenticazione anonima" non è impostata su Vieta nelle impostazioni del server LDAP, gli utenti che non dispongono di un account per il server LDAP potrebbero comunque ottenere l'accesso.
Quando si utilizza la macchina per la prima volta, l'utente può utilizzare "Funzioni disponibili" specificate in [Gestione autenticazione utente].
Per specificare "Funzioni disponibili" per ciascun utente, registrare l'utente con "Funzioni disponibili" nella rubrica o specificare le funzioni disponibili nell'utente registrato automaticamente nella rubrica.

Installazione del server Web (IIS) e del "Servizio certificati Active Directory"

Installare il servizio richiesto nel server Windows per ottenere automaticamente le informazioni utente registrate in Active Directory.

Windows Server 2012/2016

Nel menu [Avvio], selezionare [Server Manager].

Nel menu [Gestione], fare clic su [Aggiungi ruoli e funzionalità].

Fare clic su [Avanti].

Selezionare [Installazione basata su ruoli o basata su funzionalità], quindi fare clic su [Avanti].

Selezionare un server.

Selezionare le caselle di controllo [Active Directory Certificate Service] e [Web Server (IIS)], quindi fare clic su [Avanti].

Se appare un messaggio di conferma, fare clic su [Aggiungi funzionalità].

Verificare quali funzioni installare, quindi fare clic su [Avanti].

Leggere le informazioni sul contenuto e fare clic su [Avanti].

Verificare che [Autorità di certificazione] sia selezionato nell'area [Servizi ruolo] in [Servizi certificati Active Directory], quindi fare clic su [Avanti].

Leggere le informazioni sul contenuto e fare clic su [Avanti].

Quando si utilizza Windows Server 2016, passare al Punto 12 dopo aver letto le informazioni sul contenuto.

Verificare quali servizi di ruolo si desidera installare sotto Web Server (IIS), quindi fare clic su [Avanti].

Fare clic su [Installa].

Dopo il completamento dell'installazione, fare clic sull'icona di notifica del server manager, quindi fare clic su [Configurare Servizio certificati Active Directory nel server di destinazione].

Fare clic su [Avanti].

Verificare [Autorità di certificazione] in Servizi ruolo, quindi fare clic su [Avanti>].

Selezionare [CA (Enterprise)], quindi fare clic su [Avanti].

Selezionare [CA radice] e fare clic su [Avanti].

Selezionare [Crea una nuova chiave privata], quindi fare clic su [Avanti].

Selezionare un fornitore di servizi crittografici, lunghezza chiave e algoritmo hash per creare una chiave privata, quindi fare clic su [Avanti].

In "Nome comune per la CA:" inserire il nome dell'autorità del certificato e fare clic su [Avanti].

Selezionare il periodo di validità, e fare clic su [Avanti].

Lasciare "Percorso database certificato:" e "Percorso registro database certificato:" senza modifiche, quindi fare clic su [Avanti].

Fare clic su [Configura].

Quando compare il messaggio "Configurazione riuscita", fare clic su [Chiudi].

Windows Server 2008 R2

Dal menu "Start", selezionare "Strumenti di amministrazione", quindi avviare il server manager.

Fare clic su [Ruoli] nella colonna sinistra, quindi fare clic su [Aggiungi Ruoli] dal menu "Azione".

Fare clic su [Avanti].

Selezionare le caselle di controllo "Web Server (IIS)" e "Active Directory Certificate Services", quindi fare clic su [Avanti].

Se appare un messaggio di conferma, fare clic su [Aggiungi funzionalità].

Leggere le informazioni sul contenuto e fare clic su [Avanti].

Spuntare "Autorità di certificazione", quindi fare clic su [Avanti].

Selezionare "Enterprise", quindi fare clic su [Avanti].

Selezionare "CA radice" e fare clic su [Avanti].

Selezionare "Crea una nuova chiave privata", quindi fare clic su [Avanti].

Selezionare un fornitore di servizi crittografici, lunghezza chiave, e algoritmo hash per creare una chiave privata, quindi fare clic su [Avanti].

In "Nome comune per la CA:", inserire il nome dell'autorità del certificato e fare clic su [Avanti].

Selezionare il periodo di validità, e fare clic su [Avanti].

lasciarte "Percorso database certificato:" e "Percorso registro database certificato:" senza apportare modifiche, quindi fare clic su [Avanti].

Leggere le note e fare clic su [Avanti].

Selezionare i servizi ruolo da installare, quindi fare clic su [Avanti].

Fare clic su [Installa].

Inizia l'installazione delle funzionalità aggiunte.

Creazione di un certificato del server

Per crittografare le informazioni utente, creare un certificato server nel server Windows. Windows Server 2016 viene utilizzato come esempio.

Dal menu [Start], puntare su [Tutte le applicazioni] e fare clic su [Gestione Internet Information Service (IIS)] di [Strumenti amministrativi].

Nella colonna di sinistra, fare clic su [Nome server], quindi fare doppio clic su [Certificato server].

Nella colonna a destra, fare clic su [Crea richiesta di certificato...].

Inserire tutte le informazioni necessarie e fare clic su [Avanti].

In "Provider del servizio di crittografia:", selezionare un provider e fare clic su [Avanti].

Fare clic su [...] e specificare un nome di file per la richiesta di certificato.

Specificare una posizione in cui memorizzare il file, quindi fare clic su [Apri].

Fare clic su [Fine].