Kullanıcı RehberiP 800/801

Sunucuyu Kullanıcı Kimlik Doğrulaması Kullanmak için Hazırlama

Kullanıcı kimlik doğrulaması olarak Windows kimlik doğrulaması ya da LDAP kimlik doğrulamasını ilk kez kullanırken, sunucu ortamınızın kullanıcı kimlik doğrulaması gereksinimlerini karşıladığını kontrol edin ve gerekli ayarları yapılandırın.

Windows kimlik doğrulaması kullanmak için

sunucuyu aşağıdaki gibi ayarlayın:

  1. Windows kimlik doğrulaması gereksinimlerini kontrol edin.

  2. Sunucuya Web sunucusu (IIS) "Active Directory Sertifika Hizmeti"ni yükleyin.

  3. Bir sunucu sertifikası oluşturun.

    Şifrelenmemiş kullanıcı bilgisini iletmek için bir sunucu sertifikası oluşturmanız gerekmez.

LDAP kimlik doğrulaması kullanmak için

LDAP kimlik doğrulaması gereksinimlerini kontrol edin ve sunucu ortamına göre gereken ayarları yapılandırın.

Kullanıcı Kimlik Doğrulaması için Kullanılacak Sunucu Kimlik Doğrulaması Gereksinimleri

Windows kimlik doğrulama

Öğeler

Açıklama

Kullanılabilir İşletim Sistemi

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Kerberos kimlik doğrulamayı Windows Server 2008 üzerinde çalıştırmak için, Service Pack 2 veya üst sürümlerini kurun.

Kimlik Doğrulama yöntemi

Aşağıdaki kimlik doğrulaması yöntemlerini destekler:

  • NTLM kimlik doğrulaması (NTLMv1/NTLMv2)

  • Kerberos kimlik doğrulama

Kerberos kimlik doğrulamasını belirtmek için kullanıcıların kimliklerini doğrulayan sunucu Kerberos kimlik doğrulamasını desteklemelidir. Sunucu bunu desteklemiyorsa, NTLM kimlik doğrulaması otomatik olarak seçilir.

Kimlik doğrulaması gereksinimleri

  • Belirttiğiniz etki alanında bir etki alanı denetçisi kurun.

  • Aktif Dizin çalışırken kullanıcı bilgilerine erişmek için LDAP kullanın. Makine ile LDAP sunucusu arasındaki iletişimin SSL/TLS kullanılarak şifrelenmesi önerilir. Sunucu, TLS 1.0/1.1/1.2 ya da SSL 3.0 şifreleme yöntemini desteklemelidir. Etki alanı denetçisinin sunucu sertifikasını önceden kaydedin.

    Sunucu Sertifikası Oluşturma

  • TLS 1.0/SSL 3.0, fabrika varsayılan ayarlarında devre dışıdır. TLS 1.0/SSL 3.0 kullanmak için, TLS 1.0/SSL 3.0 ayarını Web Image Monitor'da Etkin yapın.

  • Makine ile KDC (Anahtar Dağıtım Merkezi)sunucusu arasındaki veri iletimi, Kerberos kimlik doğrulama etkinse şifrelenmelidir.

    Ağ İletişimini Şifreleme

Not

  • Sunucu, diğer etki alanlarında yönetilen kullanıcıların kimliklerini doğrulayabilir ancak kullanıcı bilgilerini alamaz.

  • Kimliği doğrulanmış bir kullanıcının bilgilerini makinedeki adres defterinde düzenleseniz bile kimlik doğrulaması yapılırken sunucudan alınan bilgi, bunun üzerine yazılabilir.

  • Etki alanı denetleyicisinde yeni bir kullanıcı oluşturduysanız ve parola yapılandırmada "Kullanıcı sonraki oturum açmada parolayı değiştirmeli" seçeneğini seçtiyseniz öncelikle bilgisayarda oturum açın ve parolayı değiştirin.

  • Windows sunucusundaki "Konuk" hesabı etkinleştirilirse, alan kontrolöründe kayıtlı olmayan kullanıcıların kimliği doğrulanabilir. Bu hesap etkinleştirilirse kullanıcılar adres defterine kaydedilir ve "*Varsayılan Gurup" altında kullanıma açık olan işlevleri kullanabilir.

LDAP kimlik doğrulama

Öğeler

Açıklamalar

Kullanılabilir sürüm

LDAP Sürüm 2.0/3.0

Kimlik Doğrulama yöntemi

  • Kerberos kimlik doğrulama

  • Digest kimlik doğrulaması

  • Açık metin kimlik doğrulaması

Açıkyazı kimlik doğrulamasını seçtiğinizde, LDAP basitleştirilmiş kimlik doğrulama etkinleştirilir. Basitleştirilmiş kimlik doğrulama DN yerine bir kullanıcı özniteliği (cn veya uid gibi) ile gerçekleştirilebilir.

Kimlik doğrulaması gereksinimleri

  • SSL/TLS kullanmak için, sunucu, TLS 1.0/1.1/1.2 ya da SSL 3.0 şifreleme yöntemini desteklemelidir.

  • TLS 1.0/SSL 3.0, fabrika varsayılan ayarlarında devre dışıdır. TLS 1.0/SSL 3.0 kullanmak için, TLS 1.0/SSL 3.0 ayarını Web Image Monitor'da Etkin yapın.

  • Kerberos Kimlik Doğrulamasını kullanmak amacıyla ağ alanını ayırt etmek için ortamı kaydedin.

    "Ortamı Programlama", Kullanım Kılavuzu (Tam Sürüm), İngilizce.

  • Makine ile KDC (Anahtar Dağıtım Merkezi)sunucusu arasındaki veri iletimi, Kerberos kimlik doğrulama etkinse şifrelenmelidir.

    Ağ İletişimini Şifreleme

  • LDAP kullandığınızda, yalnızca sürüm 3.0 Özet kimlik doğrulamasını kullanabilir.

LDAP sunucusu Active Directory kullanılarak yapılandırılmışsa dikkat edilecekler

  • Anonim kimlik doğrulaması kullanılabilir. Güvenliği artırmak için, Devre Dışı bırakmak için anonim kimlik doğrulamayı ayarlayın.

Not

  • Kimliği doğrulanmış bir kullanıcının bilgilerini makinedeki adres defterinde düzenleseniz bile kimlik doğrulaması yapılırken sunucudan alınan bilgi, bunun üzerine yazılabilir.

  • LDAP kimlik doğrulama altında, sunucuda kayıtlı olan gruplar için erişim sınırları belirleyemezsiniz.

  • Oturum açma kullanıcı adını ya da parolasını girerken Japonca, Geleneksel Çince, Basit Çince ya da Korece çift baytlı karakterlerini kullanmayın. Çift baytlı karakterler kullanırsanız, Web Image Monitor kullanarak kimlik doğrulama yapamazsınız.

  • LDAP kimlik doğrulama altında, LDAP sunucusunun ayarlarında eğer "Anonim Kimlik Doğrulama" Yasakla olarak ayarlanmamışsa, LDAP sunucusu hesabı olmayan kullanıcıların erişebilmeleri mümkündür.

  • Makineyi ilk kez kullanırken, kullanıcı, [Kullanıcı Kimlik Doğrulama Yönetimi]'nde belirtilen "Mevcut İşlevler"i kullanabilir.

  • Her kullanıcıya ayrı ayrı "Mevcut İşlevler" belirlemek için, kullanıcıyı adres defterindeki "Mevcut İşlevler" ile birlikte kaydedin ya da adres defterine otomatik olarak kaydedilen kullanıcıdaki Mevcut İşlevleri belirtin.

Web Sunucusu (IIS) ve "Active Directory Sertifika Hizmeti"ni Yükleme

Active Directory'de kayıtlı kullanıcı bilgisini otomatik olarak almak için gerekli hizmeti Windows sunucuda yükleyin.

Windows Server 2012/2016

1[Başlat] menüsünde, [Sunucu Yöneticisi]ni tıklatın.

2[Yönet] menüsünde, [Rol ve Özellik Ekle] öğesine tıklayın.

3[İleri] seçeneğine tıklayın.

4[Rol tabanlı ve özellik tabanlı kurulum] seçeneğini seçin ve [Sonraki]'ne tıklayın.

5Bir sunucu seçin.

6[Active Directory Sertifika Hizmetleri] ve [Web Sunucusu (IIS)] onay kutularını seçin ve [Sonraki] düğmesine tıklayın.

Bir onay mesajı görünürse, [Özellik Ekle] düğmesine tıklayın.

7Kuracağınız özellikleri seçin ve sonra [Sonraki] öğesine tıklayın.

8İçerik bilgisini okuyun, ardından [Sonraki] öğesine tıklayın.

9[Etkin Dizin Sertifika Hizmetleri]'nde [Rol Hizmetleri] alanında [Sertifika Yetkilisi]'nin seçildiğinden emin olun ve ardından [Sonraki] düğmesine tıklayın.

10İçerik bilgisini okuyun, ardından [Sonraki] öğesine tıklayın.

Windows Server 2016 kullanırken içerik bilgisini okuduktan sonra Adım 12'ye geçin.

11[Web Sunucusu (IIS)] altında kuracağınız rol hizmetlerini seçin ve ardından [Sonraki] düğmesine tıklayın.

12[Yükle] öğesine tıklayın.

13Kurulumu tamamladıktan sonra, sunucu yöneticisinin bildirim simgesine tıklayın ve ardından [Active Directory Dizin Sertifika Hizmetini hedef sunucuda yapılandır]'a tıklayın.

14[İleri] seçeneğine tıklayın.

15[Rol Hizmetleri] alanında [Sertifika Yetkilisi]'ni işaretleyin ve ardından [Sonraki] düğmesine tıklayın.

16[Kuruluş Sertifika Yetkilisi]'ni seçin ve ardından [Sonraki] düğmesine tıklayın.

17[Kök CA] öğesini seçin ve [Sonraki] öğesine tıklayın.

18[Yeni bir özel anahtar oluştur] seçimini yapıp ardından [Sonraki] ögesine tıklayın.

19Yeni bir özel anahtar oluşturmak için bir şifreleme hizmet sağlayıcısı, anahtar uzunluğu ve karma algoritma seçin ve ardından [Sonraki] düğmesine tıklayın.

20"Bu CA: için ortak ad" içerisinde Sertifika Yetkilisi'nin adını girin ve ardından [Sonraki] ögesine tıklayın.

21Geçerlilik süresini seçin, ardından [Sonraki] ögesine tıklayın.

22"Sertifika veritabanı konumu:" ve "Sertifika veritabanı günlük konumu:" alanlarını değiştirmeden bırakın ve ardından [Sonraki] öğesine tıklayın.

23[Yapılandır] seçeneğine tıklayın.

24"Yapılandırma başarılı" mesajı göründüğünde, [Kapat] düğmesine tıklayın.

Windows Server 2008 R2

1"Başlat" menüsünde, "Yönetim Araçları" öğesinin üzerine gelin ve ardından sunucu yöneticisini başlatın.

2Sol sütundan [Roller] ögesine tıklayın, "İşlem" menüsünden [Roller Ekle] ögesine tıklayın.

3[İleri] seçeneğine tıklayın.

4"Web Sunucusu (IIS)" ve "Active Directory Sertifika Hizmetleri" onay kutularını seçin ve [Sonraki] ögesine tıklayın.

Bir onay mesajı görünürse, [Özellik Ekle] düğmesine tıklayın.

5İçerik bilgisini okuyun ve [Sonraki] öğesine tıklayın.

6[Sertifika yetkilisi] öğesini işaretleyin ve [Sonraki] öğesine tıklayın.

7"Kuruluş" öğesini seçin ve [Sonraki] öğesine tıklayın.

8"Kök CA" öğesini seçin ve [Sonraki] öğesine tıklayın.

9"Yeni bir özel anahtar oluştur" seçimini yapıp ardından [Sonraki] ögesine tıklayın.

10Yeni bir özel anahtar oluşturmak için bir şifreleme hizmet sağlayıcısı, anahtar uzunluğu ve karma algoritma seçin ve ardından [Sonraki] ögesine tıklayın.

11"Bu CA: için ortak ad" içerisinde Sertifika Yetkilisi'nin adını girin ve ardından [Sonraki] ögesine tıklayın.

12Geçerlilik süresini seçin, ardından [Sonraki] ögesine tıklayın.

13"Sertifika veritabanı konumu:" ve "Sertifika veritabanı günlük konumu:" alanlarını değiştirmeden bırakın ve ardından [İleri] öğesine tıklayın.

14Notları okuyun ve [Sonraki] öğesine tıklayın.

15Yüklenecek rol hizmetlerini seçin ve ardından [İleri] öğesine tıklayın.

16[Yükle] öğesine tıklayın.

Eklenen özellikleri yükleme işlemi başlar.

Sunucu Sertifikası Oluşturma

Kullanıcı bilgilerini şifrelemek için Windows sunucusunda bir sertifika oluşturun. Windows Server 2016 bir örnek olarak kullanılmıştır.

1[Başlat] menüsünde, [Tüm Uygulamalar] öğesine ve ardından [Yönetici Araçları] adımındaki [Internet Information Service (IIS) Yöneticisi] öğesine tıklayın.

2soldaki sütunda [Sunucu Adı] öğesini tıklayın ve ardından [Sunucu Sertifikası] öğesini çift tıklayın.

3Sağ sütunda [Sertifika Talebi Oluşturun...] öğesine tıklayın.

4Tüm bilgileri girin ve ardından [Sonraki] öğesine tıklayın.

5"Şifreleme hizmeti sağlayıcısı:" içerisinde bir sağlayıcı seçin ve [Sonraki] öğesine tıklayın.

6[...] öğesine tıklayın ve sonra sertifika talebi için bir dosya adı belirleyin.

7Dosyanın saklanacağı bir konum belirleyin ve sonra [Aç] öğesine tıklayın.

8[Bitir] öğesine tıklayın.