การเตรียมเซิร์ฟเวอร์เพื่อใช้สำหรับการยืนยันตัวตนผู้ใช้

เมื่อใช้การยืนยันตัวตนผ่าน Windows หรือ LDAP เป็นวิธีการยืนยันตัวตนผู้ใช้เป็นครั้งแรก ให้ตรวจสอบว่าเซิร์ฟเวอร์ที่ใช้ตรงตามข้อกำหนดสำหรับการยืนยันตัวตนผู้ใช้หรือไม่ และกำหนดการตั้งค่าที่ต้องการ

วิธีการยืนยันตัวตนผ่าน Windows

เตรียมเซิร์ฟเวอร์ดังต่อไปนี้:

ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน Windows
ติดตั้งเว็บเซิร์ฟเวอร์ (IIS) และ "Active Directory Certificate Service" ในเซิร์ฟเวอร์
สร้างใบรับรองเซิร์ฟเวอร์
ผู้ใช้ไม่จำเป็นต้องสร้างใบรับรองเซิร์ฟเวอร์เพื่อส่งข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส

วิธีการยืนยันตัวตนผ่าน LDAP

ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน LDAP และกำหนดการตั้งค่าตามเซิร์ฟเวอร์ที่ใช้งาน

ข้อกำหนดของการรับรองความถูกต้องเซิร์ฟเวอร์ที่ใช้สำหรับการยืนยันตัวตนผู้ใช้

Windows authentication
รายการ	คำอธิบาย
OS ที่สามารถใช้งานได้	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 หากต้องการใช้ระบบยืนยันตัวตนผ่าน Kerberos บน Windows Server 2008 ให้ติดตั้ง Service Pack 2 หรือเวอร์ชันที่ใหม่กว่า
วิธีการกำหนดสิทธิ์	รองรับวิธีการยืนยันตัวตนต่อไปนี้: การยืนยันตัวตนผ่าน NTLM (NTLMv1/NTLMv2) การยืนยันตัวตนผ่าน Kerberos ในการระบุการยืนยันตัวตนผ่าน Kerberos เซิร์ฟเวอร์ที่ยืนยันตัวตนผู้ใช้ต้องรองรับการยืนยันตัวตนผ่าน Kerberos หากเซิร์ฟเวอร์ไม่รองรับการยืนยันตัวตนนี้ การยืนยันตัวตนผ่าน NTLM จะถูกเลือกโดยอัตโนมัติ
ข้อกำหนดสำหรับการยืนยันตัวตน	ตั้งค่าตัวควบคุมโดเมนในโดเมนที่ระบุ หากต้องการรับข้อมูลผู้ใช้ขณะที่ Active Directory กำลังทำงานอยู่ ให้ใช้ LDAP ขอแนะนำให้เข้ารหัสการสื่อสารระหว่างเครื่องและเซิร์ฟเวอร์ LDAP โดยใช้ SSL/TLS เซิร์ฟเวอร์ต้องรองรับวิธีการเข้ารหัส TLS 1.0/1.1/1.2 หรือ SSL 3.0 ลงทะเบียนใบรับรองเซิร์ฟเวอร์ของตัวควบคุมโดเมนล่วงหน้า การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate) TLS 1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน หากต้องการใช้ TLS 1.0/SSL 3.0 ให้ระบุ TLS 1.0/SSL 3.0 เป็นเปิดใช้งานบน Web Image Monitor การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos การเข้ารหัสการสื่อสารผ่านเครือข่าย

เซิร์ฟเวอร์สามารถยืนยันตัวตนผู้ใช้ที่จัดการในโดเมนอื่นได้ แต่ไม่สามารถรับข้อมูลผู้ใช้ได้
แม้ว่าคุณจะแก้ไขข้อมูลผู้ใช้ที่ได้รับการยืนยันตัวตนแล้วใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน
หากสร้างผู้ใช้รายใหม่ในตัวควบคุมโดเมนและเลือก "User must change password at next logon" ในการกำหนดค่ารหัสผ่าน ควรเข้าสู่ระบบคอมพิวเตอร์และเปลี่ยนรหัสผ่านก่อนใช้งาน
หากบัญชี "Guest" บนเซิร์ฟเวอร์ Windows มีการเปิดใช้งานอยู่ ผู้ใช้ที่ไม่ได้ลงทะเบียนอยู่ในตัวควบคุมโดเมนจะได้รับการยืนยันตัวตนด้วย เมื่อบัญชีนี้เปิดใช้งาน ผู้ใช้จะลงทะเบียนอยู่ใน Address Book และสามารถใช้ฟังก์ชันต่างๆ ที่มีอยู่ภายใต้ *Default Group ได้

LDAP authentication
รายการ	คำอธิบาย
เวอร์ชันที่สามารถใช้งานได้	LDAP เวอร์ชัน 2.0/3.0
วิธีการกำหนดสิทธิ์	การยืนยันตัวตนผ่าน Kerberos การยืนยันตัวตนผ่าน Digest การยืนยันตัวตนผ่าน Cleartext เมื่อเลือกการยืนยันตัวตนผ่าน Cleartext การยืนยันตัวตนอย่างง่ายผ่าน LDAP จะถูกเปิดใช้งาน การยืนยันตัวตนอย่างง่ายสามารถทำได้โดยใช้แอตทริบิวต์ของผู้ใช้ (เช่น cn หรือ uid) แทนการใช้ DN
ข้อกำหนดสำหรับการยืนยันตัวตน	หากต้องการใช้ SSL/TLS เซิร์ฟเวอร์จะต้องรองรับวิธีการเข้ารหัส TLS 1.0/1.1/1.2 หรือ SSL 3.0 TLS 1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน หากต้องการใช้ TLS 1.0/SSL 3.0 ให้ระบุ TLS 1.0/SSL 3.0 เป็นเปิดใช้งานบน Web Image Monitor ในการใช้การยืนยันตัวตัน Kerberos ให้ลงทะเบียน Realm เพื่อกำหนดพื้นที่เครือข่าย "การตั้งโปรแกรม Realm", คู่มือการใช้งานและบำรุงรักษาเครื่อง (ฉบับเต็ม) ภาษาอังกฤษ การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos การเข้ารหัสการสื่อสารผ่านเครือข่าย เมื่อใช้ LDAP เฉพาะเวอร์ชัน 3 เท่านั้นที่สามารถใช้การยืนยันตัวตนผ่าน Digest ได้

หมายเหตุกรณีที่เซิร์ฟเวอร์ LDAP ถูกกำหนดค่าโดยใช้ Active Directory

อาจสามารถใช้การยืนยันตัวตนแบบไม่ระบุตัวตนได้ หากต้องการปรับปรุงความปลอดภัย ให้ตั้งค่าการยืนยันตัวตนแบบไม่ระบุตัวตนเป็น Disable

แม้ว่าคุณจะแก้ไขข้อมูลผู้ใช้ที่ได้รับการยืนยันตัวตนแล้วใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน
ในระบบยืนยันตัวตนผ่าน LDAP จะไม่สามารถกำหนดขีดจำกัดการเข้าถึงให้กับกลุ่มที่ลงทะเบียนไว้ในเซิร์ฟเวอร์ได้
ห้ามใช้ตัวอักษรแบบสองไบต์ เช่น ญี่ปุ่น จีนดั้งเดิม จีนประยุกต์ หรือตัวอักษรฮันกุลในการป้อนชื่อหรือรัหสผ่านสำหรับล็อกอิน หากคุณใช้ตัวอักษรแบบสองไบต์ คุณจะไม่สามารถยืนยันตัวตนโดยใช้ Web Image Monitor ได้
ภายใต้ระบบยืนยันตัวตนผ่าน LDAP หาก "Anonymous Authentication" ในการตั้งค่าของเซิร์ฟเวอร์ LDAP ไม่ได้ตั้งค่าให้เเป็น Prohibit ผู้ใช้ที่ไม่มีบัญชีในเซิร์ฟเวอร์ LDAP อาจสามารถเข้าถึงเซิร์ฟเวอร์ได้
เมื่อใช้เครื่องเป็นครั้งแรก ผู้ใช้สามารถใช้ "Available Functions" ที่ระบุใน [User Authentication Management] ได้
ในการระบุ "Available Functions" สำหรับผู้ใช้แต่ละราย ให้ลงทะเบียนผู้ใช้พร้อมกับ "Available Functions" ใน Address Book หรือระบุฟังก์ชันที่สามารถใช้งานได้ในผู้ใช้ที่ถูกบันทึกโดยอัตโนมัติใน Address Book

การติดตั้ง Web Server (IIS) และ "Active Directory Certificate Service"

ติดตั้งบริการที่จำเป็นในเซิร์ฟเวอร์ Windows เพื่อรับข้อมูลผู้ใช้ที่ถูกบันทึกใน Active Directory โดยอัตโนมัติ

Windows Server 2012/2016

บนเมนู [Start] คลิก [Server Manager]

บนเมนู [Manage] คลิก [Add Roles and Features]

คลิก [Next]

เลือก [Role-based or feature-based installation] จากนั้นคลิก [Next]

เลือกเซิร์ฟเวอร์

เลือกกล่อง [Active Directory Certificate Service] และ [Web Server (IIS)] จากนั้นคลิก [Next]

หากข้อความยืนยันแสดงขึ้น ให้คลิก [Add Features]

เลือกคุณลักษณะที่ต้องการติดตั้ง จากนั้นคลิก [Next]

อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

ตรวจสอบว่าได้เลือก [Certification Authority] ในพื้นที่ [Role Services] ของ [Active Directory Certificate Services] แล้ว จากนั้นคลิก [Next]

อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

เมื่อใช้ Windows Server 2016 ให้ไปที่ขั้นตอน 12 หลังจากอ่านข้อความที่แสดงขึ้นแล้ว

เลือกบริการที่ต้องการติดตั้งใน [Web Server (IIS)] จากนั้นคลิก [Next]

คลิก [Install]

หลังจากเสร็จสิ้นการติดตั้งแล้ว ให้คลิกไอคอนแจ้งเตือนของตัวจัดการเซิร์ฟเวอร์ จากนั้นคลิก [Configure Active Directory Certificate Service on the destination server]

คลิก [Next]

ตรวจสอบ [Certification Authority] ใน [Role Services] จากนั้นคลิก [Next]

เลือก [Enterprise CA] จากนั้นคลิก [Next]

เลือก [Root CA] จากนั้นคลิก [Next]

เลือก [Create a new private key] จากนั้นคลิก [Next]

เลือกตัวเข้ารหัสลับ ความยาวคีย์ และอัลกอริทึมการแฮช เพื่อสร้างคีย์ส่วนตัวขึ้นมาใหม่ จากนั้นคลิก [Next]

ใน "Common name for this CA:" ให้ป้อนชื่อผู้ให้บริการออกใบรับรอง (Certificate Authority) จากนั้นคลิก [Next]

เลือกระยะเวลาที่มีผลบังคับใช้ จากนั้นคลิก [Next]

ห้ามเปลี่ยนแปลง "Certificate database location:" และ "Certificate database log location:" จากนั้นคลิก [Next]

คลิก [Configure]

หากข้อความ "Configuration succeeded" แสดงขึ้นมา ให้คลิก [Close]

Windows Server 2008 R2

บนเมนู "Start" ให้ชี้ไปที่ "Administrative Tools" จากนั้นเริ่มตัวจัดการเซิร์ฟเวอร์

คลิก [Roles] ในคอลัมน์ด้านซ้าย แล้วคลิก [Add Roles] จากเมนู "Action"

คลิก [Next]

เลือกกล่อง "Web Server (IIS)" และ "Active Directory Certificate Services" จากนั้นคลิก [Next]

หากข้อความยืนยันแสดงขึ้น ให้คลิก [Add Features]

อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

เลือก "Certification Authority" จากนั้นคลิก [Next]

เลือก "Enterprise" จากนั้นคลิก [Next]

เลือก "Root CA" จากนั้นคลิก [Next]

เลือก "Create a new private key" จากนั้นคลิก [Next]

เลือกตัวเข้ารหัสลับ ความยาวของคีย์ และอัลกอริทึมการแฮช เพื่อสร้างคีย์ส่วนตัวขึ้นมาใหม่ จากนั้นคลิก [Next]

เลือกระยะเวลาที่มีผลบังคับใช้ จากนั้นคลิก [Next]

ห้ามเปลี่ยนแปลง "Certificate database location:" และ "Certificate database log location:" จากนั้นคลิก [Next]

อ่านหมายเหตุ จากนั้นคลิก [Next]

เลือกบริการเพื่อติดตั้ง จากนั้นคลิก [Next]

คลิก [Install]

การติดตั้งคุณลักษณะเพิ่มเติมจะเริ่มต้นขึ้น

การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate)

ในการเข้ารหัสข้อมูลผู้ใช้ ให้สร้างใบรับรองเซิร์ฟเวอร์ในเซิร์ฟเวอร์ Windows ขั้นตอนด้านล่างนี้เป็นตัวอย่างของ Windows Server 2016

บนเมนู [Start] ให้คลิก [All Applications] จากนั้นคลิก [Internet Information Service (IIS) Manager] ของ [Administrative Tools]

ทางคอลัมน์ด้านซ้าย ให้คลิก [Server Name] จากนั้นดับเบิลคลิกที่ [Server Certificate]

ในคอลัมน์ด้านขวา คลิก [Create Certificate Request...]

ป้อนข้อมูลทั้งหมด จากนั้นคลิก [Next]

ใน "Cryptographic service provider:" ให้เลือกผู้ให้บริการ จากนั้นคลิก [Next]

คลิก [...] จากนั้นกำหนดชื่อไฟล์สำหรับขอใบรับรอง

กำหนดตำแหน่งที่ต้องการเก็บบันทึกไฟล์ จากนั้นคลิก [Open]

คลิก [Finish]