Guida per l'utenteP 800/801

Preparazione del server da utilizzare per l'autenticazione utente

Quando si utilizza l'autenticazione Windows o l'autenticazione LDAP come metodo di autenticazione utente per la prima volta, verificare che l'ambiente del server soddisfi i requisiti per l'autenticazione utente e configurare le impostazioni richieste.

Per utilizzare l'autenticazione Windows

Preparare il server come segue:

  1. Verificare i requisiti dell'autenticazione Windows.

  2. Installare il server Web (IIS) e il "Servizio certificati Active Directory" nel server.

  3. Creare un certificato di server.

    Non è necessario creare un certificato server per trasmettere informazioni utente non crittografate.

Per utilizzare l'autenticazione LDAP

Verificare i requisiti dell'autenticazione LDAP e configurare le impostazioni a seconda dell'ambiente del server secondo necessità.

Requisiti dell'autenticazione server utilizzata per l'autenticazione utente

Autenticazione Windows

Opzioni

Spiegazione

Sistema operativo utilizzabile

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Per usare l'autenticazione Kerberos in Windows Server 2008, installare Service Pack 2 o successivo.

Metodo di autenticazione

Supporta i seguenti metodi di autenticazione:

  • Autenticazione NTLM (NTLMv1/NTLMv2)

  • Autenticazione Kerberos

Per specificare l'autenticazione Kerberos, il server che autentica gli utenti deve supportarla. Se il server non la supporta, l'autenticazione NTLM viene selezionata automaticamente.

Requisiti per l'autenticazione

  • Impostare un controller di dominio nel dominio specificato.

  • Per ottenere le informazioni sull'utente quando Active Directory è in funzionamento, utilizzare LDAP. Si consiglia di crittografare le comunicazioni tra la macchina e il server LDAP utilizzando SSL/TLS. Il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0. Registrare in anticipo il certificato del server del controller di dominio.

    Creazione di un certificato del server

  • TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor.

  • Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati.

    Crittografia della comunicazione di rete

Nota

  • Il server può autenticare utenti gestiti in altri domini, ma non può ottenere informazioni utente.

  • Anche se vengono modificate le informazioni di un utente autenticato nella rubrica della macchina, queste potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.

  • Se è stato creato un nuovo utente nel controller di dominio e durante la configurazione password è stato selezionato "L'utente deve cambiare password al prossimo accesso", effettuare l'accesso al computer e poi cambiare password.

  • Se è abilitato l'account "Guest" nel server di Windows, si possono autenticare utenti non registrati nel controller di dominio. Se questo account è abilitato, gli utenti vengono registrati nella rubrica e possono utilizzare le funzioni disponibili per "*Gruppo predefinito".

Autenticazione LDAP

Opzioni

Spiegazioni

Versione utilizzabile

Versione LDAP 2.0/3.0

Metodo di autenticazione

  • Autenticazione Kerberos

  • Autenticazione digest

  • Autenticazione Cleartext

Se si seleziona l'autenticazione Cleartext, viene abilitata l'autenticazione LDAP semplificata. L'autenticazione semplificata può essere eseguita con un attributo utente (quale cn o uid) al posto del DN.

Requisiti per l'autenticazione

  • Per utilizzare SSL/TLS, il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0.

  • TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor.

  • Per utilizzare l'autenticazione Kerberos, registrare il dominio per distinguere l'area di rete.

    Programmazione del realm

  • Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati.

    Crittografia della comunicazione di rete

  • Quando si utilizza LDAP, solo la versione 3.0 può utilizzare l'autenticazione digest.

Note quando il server LDAP è configurato utilizzando Active Directory

  • Potrebbe essere disponibile l'autenticazione anonima. Per migliorare la sicurezza, impostare l'autenticazione anonima su Disabilita.

Nota

  • Anche se vengono modificate le informazioni di un utente autenticato nella rubrica della macchina, queste potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.

  • Nell'autenticazione LDAP non è possibile specificare i limiti di accesso per gruppi registrati nel server.

  • Non utilizzare un nome utente o una password che contengono caratteri a doppio byte giapponesi, cinesi (tradizionale e semplificato) o hangul. Se si utilizzano caratteri a byte multiplo per il nome utente o la password, non potrà essere eseguita l'autenticazione tramite Web Image Monitor.

  • Con l'autenticazione LDAP, se l'"Autenticazione anonima" non è impostata su Vieta nelle impostazioni del server LDAP, gli utenti che non dispongono di un account per il server LDAP potrebbero comunque ottenere l'accesso.

  • Quando si utilizza la macchina per la prima volta, l'utente può utilizzare "Funzioni disponibili" specificate in [Gestione autenticazione utente].

  • Per specificare "Funzioni disponibili" per ciascun utente, registrare l'utente con "Funzioni disponibili" nella rubrica o specificare le funzioni disponibili nell'utente registrato automaticamente nella rubrica.

Installazione del server Web (IIS) e del "Servizio certificati Active Directory"

Installare il servizio richiesto nel server Windows per ottenere automaticamente le informazioni utente registrate in Active Directory.

Windows Server 2012/2016

1Nel menu [Avvio], selezionare [Server Manager].

2Nel menu [Gestione], fare clic su [Aggiungi ruoli e funzionalità].

3Fare clic su [Avanti].

4Selezionare [Installazione basata su ruoli o basata su funzionalità], quindi fare clic su [Avanti].

5Selezionare un server.

6Selezionare le caselle di controllo [Active Directory Certificate Service] e [Web Server (IIS)], quindi fare clic su [Avanti].

Se appare un messaggio di conferma, fare clic su [Aggiungi funzionalità].

7Verificare quali funzioni installare, quindi fare clic su [Avanti].

8Leggere le informazioni sul contenuto e fare clic su [Avanti].

9Verificare che [Autorità di certificazione] sia selezionato nell'area [Servizi ruolo] in [Servizi certificati Active Directory], quindi fare clic su [Avanti].

10Leggere le informazioni sul contenuto e fare clic su [Avanti].

Quando si utilizza Windows Server 2016, passare al Punto 12 dopo aver letto le informazioni sul contenuto.

11Verificare quali servizi di ruolo si desidera installare sotto Web Server (IIS), quindi fare clic su [Avanti].

12Fare clic su [Installa].

13Dopo il completamento dell'installazione, fare clic sull'icona di notifica del server manager, quindi fare clic su [Configurare Servizio certificati Active Directory nel server di destinazione].

14Fare clic su [Avanti].

15Verificare [Autorità di certificazione] in Servizi ruolo, quindi fare clic su [Avanti>].

16Selezionare [CA (Enterprise)], quindi fare clic su [Avanti].

17Selezionare [CA radice] e fare clic su [Avanti].

18Selezionare [Crea una nuova chiave privata], quindi fare clic su [Avanti].

19Selezionare un fornitore di servizi crittografici, lunghezza chiave e algoritmo hash per creare una chiave privata, quindi fare clic su [Avanti].

20In "Nome comune per la CA:" inserire il nome dell'autorità del certificato e fare clic su [Avanti].

21Selezionare il periodo di validità, e fare clic su [Avanti].

22Lasciare "Percorso database certificato:" e "Percorso registro database certificato:" senza modifiche, quindi fare clic su [Avanti].

23Fare clic su [Configura].

24Quando compare il messaggio "Configurazione riuscita", fare clic su [Chiudi].

Windows Server 2008 R2

1Dal menu "Start", selezionare "Strumenti di amministrazione", quindi avviare il server manager.

2Fare clic su [Ruoli] nella colonna sinistra, quindi fare clic su [Aggiungi Ruoli] dal menu "Azione".

3Fare clic su [Avanti].

4Selezionare le caselle di controllo "Web Server (IIS)" e "Active Directory Certificate Services", quindi fare clic su [Avanti].

Se appare un messaggio di conferma, fare clic su [Aggiungi funzionalità].

5Leggere le informazioni sul contenuto e fare clic su [Avanti].

6Spuntare "Autorità di certificazione", quindi fare clic su [Avanti].

7Selezionare "Enterprise", quindi fare clic su [Avanti].

8Selezionare "CA radice" e fare clic su [Avanti].

9Selezionare "Crea una nuova chiave privata", quindi fare clic su [Avanti].

10Selezionare un fornitore di servizi crittografici, lunghezza chiave, e algoritmo hash per creare una chiave privata, quindi fare clic su [Avanti].

11In "Nome comune per la CA:", inserire il nome dell'autorità del certificato e fare clic su [Avanti].

12Selezionare il periodo di validità, e fare clic su [Avanti].

13lasciarte "Percorso database certificato:" e "Percorso registro database certificato:" senza apportare modifiche, quindi fare clic su [Avanti].

14Leggere le note e fare clic su [Avanti].

15Selezionare i servizi ruolo da installare, quindi fare clic su [Avanti].

16Fare clic su [Installa].

Inizia l'installazione delle funzionalità aggiunte.

Creazione di un certificato del server

Per crittografare le informazioni utente, creare un certificato server nel server Windows. Windows Server 2016 viene utilizzato come esempio.

1Dal menu [Start], puntare su [Tutte le applicazioni] e fare clic su [Gestione Internet Information Service (IIS)] di [Strumenti amministrativi].

2Nella colonna di sinistra, fare clic su [Nome server], quindi fare doppio clic su [Certificato server].

3Nella colonna a destra, fare clic su [Crea richiesta di certificato...].

4Inserire tutte le informazioni necessarie e fare clic su [Avanti].

5In "Provider del servizio di crittografia:", selezionare un provider e fare clic su [Avanti].

6Fare clic su [...] e specificare un nome di file per la richiesta di certificato.

7Specificare una posizione in cui memorizzare il file, quindi fare clic su [Apri].

8Fare clic su [Fine].