Keresés

Felhasználói útmutatóIM 550/600 series

A felhasználói hitelesítésre használandó szerver előkészítése

Ha először használ windowsos hitelesítést vagy LDAP hitelesítést felhasználói hitelesítési módszerként, ellenőrizze, hogy a szerverkörnyezet megfelel-e a felhasználói hitelesítési követelményeknek, és adja meg a szükséges beállításokat.

Windowsos hitelesítés használata

Készítse elő a szervert a következőképpen:

  1. Ellenőrizze a windowsos hitelesítés követelményeit.

  2. Telepítse a szerverre a webkiszolgálót (IIS) és az Active Directory tanúsítványszolgáltatást.

  3. Hozzon létre szervertanúsítványt.

    A titkosítatlan felhasználói adatok átviteléhez nem kell szervertanúsítványt létrehozni.

LDAP hitelesítés használata

Ellenőrizze az LDAP hitelesítés követelményeit, és állítsa be azoknak megfelelően a szerverkörnyezetet.

A felhasználói hitelesítésre használt szerverhitelesítés követelményei

Windows hitelesítés

Elemek

Magyarázat

Használható operációs rendszerek

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • A Kerberos hitelesítés Windows Server 2008 alatt történő használatához telepítsen Service Pack 2 vagy újabb javítócsomagot.

Hitelesítési módszer

Az alábbi hitelesítési módszereket támogatja:

  • NTLM hitelesítés (NTLMv1/NTLMv2)

  • Kerberos-hitelesítés

A Kerberos hitelesítés beállításához a felhasználókat hitelesítő szervernek támogatnia kell a Kerberos hitelesítést. Ha a szerver nem támogatja ezt, automatikusan az NTLM hitelesítés lesz kiválasztva.

Hitelesítési követelmények

  • Állítson be tartományvezérlőt a megadott tartományba.

  • Felhasználói adatok Active Directory futtatása során történő lekéréséhez használja az LDAP-t. Javasoljuk, hogy a készülék és az LDAP szerver közötti kommunikációt titkosítsa SSL/TLS használatával. A szervernek támogatnia kell a TLS 1.0/1.1/1.2 vagy az SSL 3.0 titkosítási módszert. Előzetesen regisztrálja a tartományvezérlő szervertanúsítványát.

    Kiszolgálótanúsítvány létrehozása

  • A TLS 1.0/SSL 3.0 a gyári alapbeállítások szerint nincs engedélyezve. A TLS 1.0/SSL 3.0 használatához engedélyezze a TLS 1.0/SSL 3.0 titkosítást a Web Image Monitor felületén.

  • Ha a Kerberos-hitelesítés engedélyezve van, a készülék és a KDC-szerver (a kulcselosztó központ szervere) közötti adatátvitelt titkosítani kell.

    A hálózati kommunikáció titkosítása

Megjegyzés

  • A szerver hitelesíthet más tartomány által kezelt felhasználókat is, de olyan adatokat, mint az e-mail-cím, nem tud lekérni.

  • Amikor a Kerberos-hitelesítés engedélyezve van, az e-mail-címet nem lehet lekérni, ha be van állítva az SSL/TLS titkosítás.

  • Még ha hitelesített felhasználó olyan adatait módosítja is a készülék címjegyzékében, mint az e-mail-cím, a hitelesítés végrehajtásakor a szerverről érkező adatok felülírhatják azokat.

  • Ha új felhasználót hozott létre a tartományvezérlőben, és a jelszóbeállításnál A felhasználónak a következő belépéskor módosítania kell a jelszót lehetőséget választotta, előbb jelentkezzen be a számítógépbe, és módosítsa a jelszót.

  • Ha a Windows szerveren engedélyezett a „Vendég” felhasználói információ, akkor a tartományvezérlőben nem regisztrált felhasználók is hitelesíthetők. Ha ez a fiók engedélyezve van, a felhasználók a Címlistában lesznek bejegyezve, és az [*Alapértelmezett csoport] alatt elérhető funkciókat használhatják.

LDAP hitelesítés

Elemek

Magyarázat

Használható verzió

LDAP 2.0-s/3.0-s verzió

Hitelesítési módszer

  • Kerberos-hitelesítés

  • Kivonatoló hitelesítés

  • Titkosítatlan hitelesítés

Titkosítatlan hitelesítést választva aktiválódik az LDAP egyszerűsített hitelesítés. Az egyszerűsített hitelesítés tartománynév helyett felhasználói attribútummal (pl. cn vagy uid) is végrehajtható.

Hitelesítési követelmények

  • Az SSL/TLS használatához a szervernek támogatnia kell a TLS 1.0/1.1/1.2 vagy az SSL 3.0 titkosítási módszert.

  • A TLS 1.0/SSL 3.0 a gyári alapbeállítások szerint nincs engedélyezve. A TLS 1.0/SSL 3.0 használatához engedélyezze a TLS 1.0/SSL 3.0 titkosítást a Web Image Monitor felületén.

  • A Kerberos hitelesítés használatához a hálózati terület megkülönböztetése érdekében regisztrálja a tartományt.

    „A terület regisztrálása” vagy „A terület beprogramozása”, Felhasználói útmutató (teljes változat) angolul

  • Ha a Kerberos-hitelesítés engedélyezve van, a készülék és a KDC-szerver (a kulcselosztó központ szervere) közötti adatátvitelt titkosítani kell.

    A hálózati kommunikáció titkosítása

  • Az LDAP-nek csak a 3.0-s verziója tudja használni a kivonatoló hitelesítést.

Megjegyzések, ha az LDAP szervert az Active Directoryval konfigurálták

  • Ha a Kerberos hitelesítés SSL/TLS titkosítással együtt van engedélyezve, az e-mail-címet nem lehet lekérni.

  • Névtelen hitelesítésre van lehetőség. A biztonság növelése érdekében tiltsa le a névtelen hitelesítést.

Megjegyzés

  • Még ha hitelesített felhasználó olyan adatait módosítja is a készülék címjegyzékében, mint az e-mail-cím, a hitelesítés végrehajtásakor a szerverről érkező adatok felülírhatják azokat.

  • LDAP hitelesítés alatt a szerveren regisztrált csoportok számára nem adható meg hozzáférési korlát.

  • Ne használjon kétbites japán, hagyományos kínai, egyszerűsített kínai vagy hangul karaktereket a belépési név vagy jelszó megadásához. Ha több-bites karaktereket használ a belépési név vagy a jelszó megadásánál, akkor nem használhatja a Web Image Monitor program hitelesítési funkcióit.

  • Az LDAP-hitelesítés alatt, ha a „Névtelen hitelesítés” az LDAP-szerver beállításai között nincs „Tiltás” értékre állítva, azok a felhasználók is elérhetik a kiszolgálót, akiknek nincs LDAP-szerver hozzáférésük.

  • Amikor először használja a készüléket, a felhasználó választhatja a [Felhasználói hitelesítés kezelése] lapon lévő Elérhető funkciók lehetőséget.

  • Az Elérhető funkciók egyes felhasználók számára való megadásához regisztrálja a felhasználót a címjegyzékben lévő Elérhető funkciók lehetőséggel együtt, vagy a címjegyzékbe automatikusan regisztrált felhasználók esetében adja meg a használható funkciókat.

A webkiszolgáló (IIS) és az Active Directory tanúsítványszolgáltatás telepítése

Telepítse a szükséges szolgáltatást a Windows szerverre, hogy automatikusan lekérhesse az Active Directory címtárban tárolt felhasználói adatokat.

Windows Server 2012/2016/2019

1A [Start] menüben kattintson a [Kiszolgálókezelő] lehetőségre.

2A [Kezelés] menüben kattintson a [Szerepkörök és funkciók hozzáadása] lehetőségre.

3Kattintson a [Tovább] gombra.

4Válassza a [Szerepkör alapú vagy szolgáltatás alapú telepítés] lehetőséget, majd kattintson a [Tovább] gombra.

5Válasszon ki egy szervert, majd kattintson a [Köv.] gombra.

6Jelölje be az [Active Directory tanúsítványszolgáltatás] és a [Webkiszolgáló (IIS)] jelölőnégyzetet, majd kattintson a [Tovább] gombra.

Ha megjelenik a megerősítést kérő üzenet, kattintson a [Funkció hozzáadása] lehetőségre.

7Válassza ki a telepíteni kívánt funkciókat, majd kattintson a [Tovább] gombra.

8Olvassa el a tartalomra vonatkozó tudnivalókat, majd kattintson a [Tovább] gombra.

9Ellenőrizze, hogy a [Hitelesítésszolgáltató] lehetőség be van-e jelölve az [Active Directory tanúsítványszolgáltatások][Szerepkör-szolgáltatások] területén, majd kattintson a [Tovább] gombra.

10Olvassa el a tartalomra vonatkozó tudnivalókat, majd kattintson a [Tovább] gombra.

Windows Server 2016 használata esetén folytassa a tartalomra vonatkozó tudnivalók utáni 12. lépéssel.

11Ellenőrizze a [Web Server (IIS)] elemcsoportban a telepíteni kívánt szerepkör-szolgáltatásokat, majd kattintson a [Tovább] gombra.

12Kattintson a [Telepítés] gombra!

13A telepítést követően kattintson a Kiszolgálókezelő Értesítés ikonjára, majd kattintson az [Active Directory tanúsítványszolgáltatások beállítása a célkiszolgálón] lehetőségre.

14Kattintson a [Tovább] gombra.

15Kattintson a [Szerepkör-szolgáltatások] elemcsoportban a [Hitelesítésszolgáltató] lehetőségre, majd a [Tovább] gombra.

16Válassza a [Vállalati hitelesítésszolgáltató] lehetőséget, majd kattintson a [Tovább] gombra.

17Válassza a [Legfelső szintű hitelesítésszolgáltató] lehetőséget, majd kattintson a [Tovább] gombra.

18Válassza az [Új titkos kulcs létrehozása] lehetőséget, majd kattintson a [Tovább] gombra.

19Válasszon egy kriptográfiai szolgáltatót, kulcshosszt és kivonatoló algoritmust az új titkos kulcs létrehozásához, majd kattintson a [Tovább] gombra.

20A hitelesítésszolgáltató köznapi neve mezőben adja meg a hitelesítésszolgáltató nevét, majd kattintson a [Tovább] gombra.

21Válassza ki az érvényességi időtartamot, majd kattintson a [Tovább] gombra.

22Hagyja változatlanul a Tanúsítvány-adatbázis helye és a Tanúsítvány-adatbázis naplófájljának helye elemet, és kattintson a [Tovább] gombra.

23Kattintson a [Konfigurálás] gombra.

24Ha megjelenik A beállítás sikeresen megtörtént üzenet, kattintson a [Bezárás] gombra.

Windows Server 2008 R2

1A [Start] menüben válassza a [Felügyeleti eszközök] lehetőséget, majd kattintson a [Kiszolgálókezelő] gombra.

2A bal oszlopban kattintson a [Szerepkör], majd a Művelet menüben a [Szerepkör hozzáadása] lehetőségre.

3Kattintson a [Tovább] gombra.

4Jelölje be a Webkiszolgáló (IIS) és az Active Directory tanúsítványszolgáltatások jelölőnégyzeteket, majd kattintson a [Tovább] gombra.

Ha megjelenik a megerősítést kérő üzenet, kattintson a [Funkció hozzáadása] lehetőségre.

5Olvassa el a tartalomra vonatkozó tudnivalókat, majd kattintson a [Tovább] gombra.

6Jelölje be a Hitelesítésszolgáltató jelölőnégyzetet, majd kattintson a [Tovább] gombra.

7Válassza a Vállalati lehetőséget, majd kattintson a [Tovább] gombra.

8Válassza a [Legfelső szintű hitelesítésszolgáltató] lehetőséget, majd kattintson a [Tovább] gombra.

9Válassza az [Új titkos kulcs létrehozása] lehetőséget, majd kattintson a [Tovább] gombra.

10Válasszon egy kriptográfiai szolgáltatót, kulcshosszt és kivonatoló algoritmust az új titkos kulcs létrehozásához, majd kattintson a [Tovább] gombra.

11A hitelesítésszolgáltató köznapi neve mezőben adja meg a hitelesítésszolgáltató nevét, majd kattintson a [Tovább] gombra.

12Válassza ki az érvényességi időtartamot, majd kattintson a [Tovább] gombra.

13Hagyja változatlanul a Tanúsítvány-adatbázis helye és a Tanúsítvány-adatbázis naplófájljának helye elemet, és kattintson a [Tovább] gombra.

14Olvassa el a megjegyzéseket, majd kattintson a [Tovább] gombra.

15Válassza ki a telepíteni kívánt szerepkör-szolgáltatásokat, majd kattintson a [Tovább] gombra.

16Kattintson a [Telepítés] gombra!

Megkezdődik a hozzáadott szolgáltatások telepítése.

Kiszolgálótanúsítvány létrehozása

A felhasználó adatainak titkosításához hozzon létre kiszolgálótanúsítványt a Windows szerveren. A példában a Windows Server 2016-ot használtuk.

1A [Start] menüben kattintson a [Minden program] parancsra, majd a [Felügyeleti eszközök] között az [Internet Information Services- (IIS-) kezelő] lehetőségre.

2A bal oszlopban kattintson a [Kiszolgálónév] lehetőségre, majd kattintson duplán a [Kiszolgálótanúsítvány] elemre.

3A jobb oszlopban kattintson a [Tanúsítványkérelem létrehozása...] lehetőségre.

4Adjon meg minden adatot, majd kattintson a [Tovább] gombra.

5A "Kriptográfiai szolgáltatók:" részen válasszon egy szolgáltatót, majd kattintson a [Tovább] gombra.

6Kattintson a [...] lehetőségre, majd adjon meg egy fájlnevet a tanúsítványkérelem számára.

7Adja meg a fájl tárolási helyét, majd kattintson a [Megnyitás] pontra.

8Kattintson a [Befejezés] gombra.