Vorbereitung des Servers für die Verwendung von Anwender-Authentifizierung
Wenn Sie Windows-Authentifizierung oder LDAP-Authentifizierung zum ersten Mal als Anwender-Authentifizierungsmethode verwenden, überprüfen Sie, ob Ihre Serverumgebung die Anforderungen für Anwender-Authentifizierung erfüllt, und konfigurieren Sie die erforderlichen Einstellungen.
Zur Verwendung von Windows-Authentifizierung
Bereiten Sie den Server wie folgt vor:
Überprüfen Sie die Anforderungen der Windows-Authentifizierung.
Installieren Sie den Webserver (IIS) und Active Directory-Zertifikatdienste auf dem Server.
Erstellen Sie ein Serverzertifikat.
Sie müssen kein Serverzertifikat erstellen, um Anwenderinformationen zu übertragen, die nicht verschlüsselt sind.
Zur Verwendung von LDAP-Authentifzierung
Überprüfen Sie die Anforderungen der LDAP-Authentifizierung und konfigurieren Sie die Einstellungen entsprechend der Serverumgebung wie erforderlich.
Anforderungen der für die Anwender-Authentifizierung verwendeten Server-Authentifizierung
Elemente | Beschreibung |
---|---|
Verwendbare Betriebssysteme | Windows Server 2008/2008 R2/2012/2012 R2/2016/2019
|
Authentifizierungsmethode | Unterstützt die folgenden Authentifizierungsmethoden:
Zur Festlegung von Kerberos-Authentifizierung muss der Server, der die Anwender authentifiziert, die Kerberos-Authentifizierung unterstützen. Wenn der Server dies nicht unterstützt, wird automatisch die NTLM-Authentifizierung ausgewählt. |
Anforderungen für die Authentifizierung |
|
Der Server kann Anwender authentifizieren, die in anderen Domänen verwaltet werden, allerdings lassen sich keine Informationen wie z. B. eine E-Mail-Adresse abrufen.
Wenn die Kerberos-Authentifizierung aktiviert ist, kann die E-Mail-Adresse nicht abgerufen werden, falls SSL/TLS festgelegt ist.
Auch wenn Sie die authentifizierten Informationen eines Anwenders wie z. B. eine E-Mail-Adresse im Adressbuch des Geräts bearbeiten, kann diese durch die Informationen auf dem Server überschrieben werden, wenn die Authentifizierung ausgeführt wird.
Wenn Sie einen neuen Anwender im Domänen-Controller erstellt haben und die Option "Anwender muss Passwort bei nächster Anmeldung ändern" bei der Passwortkonfiguration gewählt haben, müssen Sie sich zunächst am Computer anmelden und das Passwort ändern.
Wenn der Gast-Account auf dem Windows-Server aktiviert ist, können auf dem Domänen-Controller nicht registrierte Anwender authentifiziert werden. Wenn dieses Konto aktiviert ist, werden die Anwender im Adressbuch registriert und können die unter [*Standardgruppe] verfügbaren Funktionen nutzen.
Elemente | Erklärungen |
---|---|
Verwendbare Version | LDAP Version 2.0/3.0 |
Authentifizierungsmethode |
Wenn Sie die Klartext-Authentifizierung auswählen, ist die vereinfachte LDAP-Authentifizierung aktiviert. Die vereinfachte Authentifizierung kann mit einem Anwenderattribut (wie cn oder uid) anstelle von DN durchgeführt werden. |
Anforderungen für die Authentifizierung |
|
Hinweise zur Konfiguration des LDAP-Servers mittels Active Directory
Wenn Kerberos-Authentifizierung zusammen mit SSL/TLS aktiviert ist, kann die E-Mail-Adresse nicht abgerufen werden.
Anonyme Authentifizierung kann verfügbar sein. Zur Verbesserung der Sicherheit deaktivieren Sie die anonyme Authentifizierung.
Auch wenn Sie die authentifizierten Informationen eines Anwenders wie z. B. eine E-Mail-Adresse im Adressbuch des Geräts bearbeiten, kann diese durch die Informationen auf dem Server überschrieben werden, wenn die Authentifizierung ausgeführt wird.
Bei der LDAP-Authentifizierung können Sie keine Zugriffsbeschränkungen für auf dem Server registrierte Gruppen festlegen.
Verwenden Sie keine japanischen, traditionellen chinesischen, vereinfachten chinesischen oder koreanischen Zweibyte-Zeichen bei der Eingabe des Login-Anwendernamens oder des Login-Passworts. Wenn Sie Zweibyte-Zeichen verwenden, können Sie sich nicht über den Web Image Monitor authentifizieren.
Wenn das Gerät das erste mal verwendet wird, kann der Anwender Verfügbare Funktionen wie unter [Anwender-Authent.verwaltung] festgelegt verwenden.
Zur Festlegung von Verfügbare Funktionen für jeden Anwender registrieren Sie den Anwender zusammen mit Verfügbare Funktionen im Adressbuch oder legen Sie Verfügbare Funktionen im automatisch im Adressbuch gespeicherten Anwender fest.
Installieren des Webserver (IIS) und des "Active Directory Certificate Service"
Installieren Sie den erforderlichen Dienst auf dem Windows-Server, um Anwenderinformationen zu erhalten, die automatisch in Active Directory registriert wird.
Windows Server 2012/2016/2019
Klicken Sie auf im [Start]-Menü auf [Server-Manager].
Klicken Sie im Menü [Verwalten] auf [Rollen und Features hinzufügen].
Auf [Weiter] klicken.
Wählen Sie [Rollenbasierte oder featurebasierte Installation] und klicken Sie anschließend auf [Weiter].
Wählen Sie einen Server und klicken Sie dann auf [Weiter].
Aktivieren Sie die Kontrollkästchen [Active Directory-Zertifikatdienste] und [Web Server (IIS)] und klicken Sie auf [Weiter].
Wenn eine Bestätigungsmeldung angezeigt wird, klicken Sie auf [Features hinzufügen].
Wählen Sie die Features, die Sie installieren möchten und klicken Sie anschließend auf [Weiter].
Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].
Vergewissern Sie sich, dass unter [Active Directory-Zertifikatdienste] im Bereich Rollendienste die Option [Zertifizierungsstelle] ausgewählt ist, und klicken Sie dann auf [Weiter].
Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].
Wenn Sie Windows Server 2016 verwenden, fahren Sie mit Schritt 12 fort, nachdem Sie die Inhaltsinformationen gelesen haben.
Wählen Sie die Rollendienste, die Sie unter [Webserver (IIS] installieren möchten und klicken Sie auf [Weiter].
Klicken Sie auf [Installieren].
Klicken Sie nach Abschluss der Installation auf das Benachrichtigungssymbol des Server-Managers und dann auf [Active Directory Certificate Service auf dem Zielserver konfigurieren].
Auf [Weiter] klicken.
Klicken Sie im Bereich [Rollendienste] auf [Zertifizierungsstelle] und anschließend auf [Weiter].
Wählen Sie [Unternehmenszertifizierungsstelle] und klicken Sie anschließend auf [Weiter].
Wählen Sie [Stammzertifizierungsstelle] und klicken Sie auf [Weiter].
Wählen Sie [Neuen privaten Schlüssel erstellen] und klicken Sie auf [Weiter].
Wählen Sie einen Kryptografiedienstanbieter, die Schlüssellänge und einen Hash-Algorithmus zur Erstellung eines neuen privaten Schlüssels und klicken Sie auf [Weiter].
Geben Sie unter [Allgemeiner Name dieser Zertifizierungsstelle:] den Namen der Zertifizierungsstelle ein und klicken Sie auf [Weiter].
Wählen Sie den Gültigkeitszeitraum aus und klicken Sie auf [Weiter].
Übernehmen Sie die Standardeinstellungen für [Ort der Zertifikatdatenbank:] und [Ort des Zertifikatdatenbankprotokolls:] ohne Änderung und klicken Sie auf [Weiter].
Klicken Sie auf [Konfigurieren].
Wenn die Meldung zur erfolgreichen Konfiguration angezeigt wird, klicken Sie auf [Schließen].
Windows Server 2008 R2
Zeigen Sie im Menü [Start] auf [Verwaltung] und starten Sie den Server-Manager.
Klicken Sie in der linken Spalte auf [Rollen]. Klicken Sie dann im Menü [Aktion] auf [Rollen hinzufügen].
Auf [Weiter] klicken.
Aktivieren Sie die Kontrollkästchen [Webserver (IIS)] und [Active Directory-Zertifikatdienste] und klicken Sie auf [Weiter].
Wenn eine Bestätigungsmeldung angezeigt wird, klicken Sie auf [Features hinzufügen].
Überprüfen Sie die Inhaltsinformationen und klicken Sie auf [Weiter].
Überprüfen Sie [Zertifizierungsstelle] und klicken Sie auf [Weiter].
Wählen Sie [Enterprise] und klicken Sie auf [Weiter].
Wählen Sie [Stammzertifizierungsstelle] und klicken Sie auf [Weiter].
Wählen Sie [Neuen privaten Schlüssel erstellen] und klicken Sie auf [Weiter].
Wählen Sie einen Kryptografiedienstanbieter, die Schlüssellänge und einen Hash-Algorithmus zur Erstellung eines neuen privaten Schlüssels und klicken Sie auf [Weiter].
Geben Sie unter [Allgemeiner Name dieser Zertifizierungsstelle:] den Namen der Zertifizierungsstelle ein und klicken Sie auf [Weiter].
Wählen Sie den Gültigkeitszeitraum aus und klicken Sie auf [Weiter].
Übernehmen Sie die Standardeinstellungen für [Ort der Zertifikatdatenbank:] und [Ort des Zertifikatdatenbankprotokolls:] und klicken Sie auf [Weiter].
Lesen Sie die Hinweise und klicken Sie auf [Weiter].
Wählen Sie die zu installierenden Rollendienste und klicken Sie auf [Weiter].
Klicken Sie auf [Installieren].
Die Installation der hinzugefügten Funktionen beginnt.
Erstellen eines Serverzertifikats
Zur Verschlüsselung der Anwenderinformationen erstellen Sie ein Serverzertifikat auf dem Windows-Server. Windows Server 2016 R2 wird als Beispiel verwendet.
Zeigen Sie im Menü [Start] auf [Alle Anwendungen] und klicken Sie unter [Verwaltung] auf [Internetinformationsdienste-Manager].
Klicken Sie in der linken Spalte auf [Servername] und klicken Sie anschließend doppelt auf [Serverzertifikat].
Klicken Sie in der rechten Spalte auf [Zertifikatanforderung erstellen...].
Geben Sie alle Informationen ein und klicken Sie auf [Weiter].
Wählen Sie im Feld [Kryptographischer Dienstanbieter:] einen Dienstanbieter aus und klicken Sie auf [Weiter].
Klicken Sie auf [...] und geben Sie einen Dateinamen für die Zertifikatanforderung an.
Geben Sie an, in welchem Verzeichnis die Datei gespeichert werden soll und klicken Sie auf [Öffnen].
Klicken Sie auf [Fertigstellen].