De server voorbereiden op het gebruik van gebruikersverificatie

Wanneer Windows-verificatie of LDAP-verificatie voor de eerste keer als gebruikersverificatiemethode wordt gebruikt, controleer dan of uw serveromgeving voldoet aan de eisen voor gebruikersverificatie en configureer de noodzakelijke instellingen.

Windows-verificatie gebruiken

Bereid de server als volgt voor:

Controleer de vereisten voor Windows-verificatie.
Installeer de webserver (IIS) en de Active Directory Certificate Service in de server.
Maak een servercertificaat aan.
U hoeft geen servercertificaat aan te maken om gebruikersinformatie door te sturen die niet zijn gecodeerd.

LDAP-verificatie gebruiken

Controleer de vereisten voor LDAP-verificatie en configureer indien nodig de instellingen volgens de serveromgeving.

Vereisten voor serververificatie voor gebruikersverificatie

Windows-verificatie
Items	Uitleg
Bruikbare besturingssystemen	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Voor Kerberos-verificatie onder Windows Server 2008 moet u Service Pack 2 of later installeren.
Verificatiemethode	Ondersteunt de volgende verificatiemethoden: NTLM-verificatie (NTLMv1/NTLMv2) Kerberos-verificatie Om Kerberos-verificatie in te stellen, moeten de gebruikers van serververificatie Kerberos-verificatie ondersteunen. Wanneer de server dit niet ondersteunt, wordt NTLM-verificatie automatisch geselecteerd.
Vereisten voor verificatie	Stel een domeincontroller in voor het domein dat u wilt opgeven. Wanneer u gebruikersinformatie wilt ophalen wanneer Active Directory wordt uitgevoerd, gebruikt u LDAP. Wij bevelen u aan om de communicatie tussen het apparaat en de LDAP-server te coderen met behulp van SSL/TLS. De server moet de coderingsmethode TLS 1.0/1.1/1.2 of SSL 3.0 ondersteunen. Registreer vooraf het servercertificaat van de domeincontroller. Een servercertificaat aanmaken TLS 1.0/SSL 3.0 is standaard uitgeschakeld. Dit is een fabrieksinstelling. Om TLS 1.0/SSL 3.0 te kunnen gebruiken, schakelt u TLS 1.0/SSL 3.0 in in Web Image Monitor. Gegevensverzending tussen het apparaat en de KDC-server (Key Distribution Center) moeten worden gecodeerd als Kerberos-verificatie is ingeschakeld. Netwerkcommunicatie coderen

Opmerking

De server kan gebruikers verifiëren die in andere domeinen worden beheerd, maar kan geen gegevens ophalen, zoals bijvoorbeeld een e-mailadres.
Wanneer Kerberos-verificatie ingeschakeld is, kan het e-mailadres niet worden opgehaald wanneer SSL/TLS is ingesteld.
Zelfs wanneer u de gegevens van een geverifieerde gebruiker in het adresboek van het apparaat bewerkt, zoals een e-mailadres, kan dit worden overschreven door de gegevens van de server wanneer verificatie wordt uitgevoerd.
Als u een nieuwe gebruiker heeft aangemaakt in de domeincontroller en bij de configuratie van het wachtwoord "Gebruiker moet wachtwoord wijzigen bij inloggen" heeft geselecteerd, log dan eerst in op de computer en wijzig het wachtwoord.
Als de Gast-account op de Windows-server is ingeschakeld, kunnen gebruikers die niet zijn geregistreerd op de domeincontroller worden geverifieerd. Als deze account is ingeschakeld, worden gebruikers geregistreerd in het adresboek en kunnen zij gebruik maken van de beschikbare functies onder [*Standaard groep].

LDAP-verificatie
Items	Verklaringen
Bruikbare versie	LDAP-versie 2.0/3.0
Verificatiemethode	Kerberos-verificatie Digest-verificatie Cleartext-verificatie Als u Cleartext-verificatie selecteert, wordt vereenvoudigde LDAP-verificatie ingeschakeld. Vereenvoudigde verificatie kan worden uitgevoerd met een gebruikerseigenschap (zoals cn of uid) in plaats van de DN.
Vereisten voor verificatie	Voor het gebruik van SSL/TLS moet de server de coderingsmethode TLS 1.0/1.1/1.2 of SSL 3.0 ondersteunen. TLS 1.0/SSL 3.0 is standaard uitgeschakeld. Dit is een fabrieksinstelling. Om TLS 1.0/SSL 3.0 te kunnen gebruiken, schakelt u TLS 1.0/SSL 3.0 in in Web Image Monitor. Om Kerberos-verificatie te gebruiken, registreert u het domein om het netwerkgebied te kunnen onderscheiden. Registratie van het domein Gegevensverzending tussen het apparaat en de KDC-server (Key Distribution Center) moeten worden gecodeerd als Kerberos-verificatie is ingeschakeld. Netwerkcommunicatie coderen Wanneer u LDAP gebruikt, kan alleen versie 3.0 Digest-verificatie gebruiken.

Opmerkingen wanneer de LDAP-server geconfigureerd is voor het gebruik van Active Directory

Wanneer Kerberos-verificatie ingeschakeld is samen met SSL/TLS, kan het e-mailadres niet worden opgehaald.
Anonieme verificatie is mogelijk wel beschikbaar. Om de beveiliging te verbeteren, dient u de anonieme verificatie uit te schakelen.

Opmerking

Zelfs wanneer u de gegevens van een geverifieerde gebruiker in het adresboek van het apparaat bewerkt, zoals een e-mailadres, kan dit worden overschreven door de gegevens van de server wanneer verificatie wordt uitgevoerd.
Bij LDAP-verificatie kunt u geen toegangslimieten opgeven voor groepen die op de server zijn geregistreerd.
U kunt geen Japanse, traditioneel Chinese, vereenvoudigd Chinese of Hangul dubbelbyte-tekens in uw log-in gebruikersnaam of wachtwoord gebruiken. Als u dubbelbyte-tekens gebruikt, kunt u geen verificatie via Web Image Monitor uitvoeren.
Wanneer het apparaat voor de eerste keer wordt gebruikt, kan de gebruiker de Beschikbare functies gebruiken die zijn ingesteld in [Gebruikersverificatie management].
Om Beschikbare functies voor elke gebruiker op te geven, registreert u de gebruiker samen met Beschikbare functies in het adresboek. U kunt ook Beschikbare functies opgeven voor de gebruiker die automatisch in het adresboek is geregistreerd.

De webserver (IIS) en de "Active Directory Certificate Service" installeren

Installeer de benodigde service in de Windows-server om gebruikersinformatie die in Active Directory is geregistreerd, automatisch op te halen.

Windows Server 2012/2016/2019

Klik in het menu [Start] op [Serverbeheer].

Klik in het menu [Beheren] op [Functies en onderdelen toevoegen].

Klik op [Volgende].

Selecteer [Installatie die op de functie of het onderdeel is gebaseerd] en klik vervolgens op [Volgende].

Selecteer een server en klik vervolgens op [Volgende].

Vink de selectievakjes [Active Directory Certificate Service] en [Webserver (IIS)] aan en klik vervolgens op [Volgende].

Klik op [Onderdelen toevoegen] in het bevestigingsbericht dat wordt weergegeven.

Vink de te installeren onderdelen aan en klik vervolgens op [Volgende].

Lees de inhoudelijke informatie en klik op [Volgende].

Controleer of [Certificeringsinstantie] is geselecteerd in het gedeelte Functieservices in Active Directory Certificate Services en klik vervolgens op [Volgende].

Lees de inhoudelijke informatie en klik op [Volgende].

Wanneer Windows Server 2016 wordt gebruikt, gaat u verder naar stap 12 nadat de inhoudelijke informatie heeft gelezen.

Vink onder Web Server (IIS) de te installeren functieservices aan en klik vervolgens op [Volgende].

Klik op [Installeren].

Klik na de installatie op het meldingspictogram voor serverbeheer en klik vervolgens op [Active Directory Certificate Services op de doelserver configureren].

Klik op [Volgende].

Vink in het gedeelte Functieservices [Certificeringsinstantie] aan en klik vervolgens op [Volgende].

Selecteer [Ondernemings-CA] en klik vervolgens op [Volgende].

Selecteer [Basis-CA] en klik daarna op [Volgende].

Selecteer [Nieuwe persoonlijke sleutel maken] en klik vervolgens op [Volgende].

Selecteer een cryptografieprovider, sleutellengte en hash-algoritme om een nieuwe persoonlijke sleutel aan te maken en klik vervolgens op [Volgende].

In [Algemene naam voor deze certificeringsinstantie:] voert u de naam van de certificeringsinstantie in en klikt u op [Volgende].

Kies de geldigheidsperiode en klik op [Volgende].

Laat [Locatie certificaatdatabase:] en [Logboeklocatie certificaatdatabase:] ongewijzigd en klik vervolgens op [Volgende].

Klik op [Configureren].

Als het bericht "De configuratie is geslaagd" wordt weergegeven, klikt u op [Sluiten].

Windows Server 2008 R2

Ga in het menu [Start] naar [Systeembeheer] en start vervolgens het serverbeheer.

Klik op [Functies] in de linkerkolom en klik op [Functies toevoegen] in het [Actie]-menu.

Klik op [Volgende].

Vink de selectievakjes [Webserver (IIS)] en [Active Directory Certificate Services] aan en klik vervolgens op [Volgende].

Klik op [Onderdelen toevoegen] in het bevestigingsbericht dat wordt weergegeven.

Lees de inhoudelijke informatie en klik op [Volgende].

Klik op [Certificeringsinstantie] en klik vervolgens op [Volgende].

Selecteer [Onderneming] en klik daarna op [Volgende].

Selecteer [Basis-CA] en klik daarna op [Volgende].

Selecteer [Nieuwe persoonlijke sleutel maken] en klik vervolgens op [Volgende].

Selecteer een cryptografieprovider, sleutellengte en hash-algoritme om een nieuwe persoonlijke sleutel aan te maken en klik vervolgens op [Volgende].

In [Algemene naam voor deze certificeringsinstantie:] voert u de naam van de certificeringsinstantie in en klikt u op [Volgende].

Kies de geldigheidsperiode en klik op [Volgende].

Laat [Locatie certificaatdatabase:] en [Logboeklocatie certificaatdatabase:] ongewijzigd en klik vervolgens op [Volgende].

Lees de opmerkingen en klik op [Volgende].

Selecteer de te installeren functieservices en klik vervolgens op [Volgende].

Klik op [Installeren].

De installatie van de toegevoegde onderdelen begint.

Een servercertificaat aanmaken

Om gebruikersinformatie te coderen, maakt u een servercertificaat in de Windows-server aan. Windows Server 2016 wordt als voorbeeld gebruikt.

In het menu [Start] wijst u [Alle toepassingen] aan en klikt u vervolgens op [Beheer van Internet Information Services (IIS)] onder [Systeembeheer].

In de linkerkolom klikt u op [Servernaam] en vervolgens dubbelklikt u op [Servercertificaat].

In de rechterkolom klikt u op [Certificaataanvraag maken...].

Voer alle informatie in en klik op [Volgende].

In [Cryptografieprovider:] kiest u een provider en klikt u op [Volgende].

Klik op [...] en geef een bestandsnaam voor de certificaataanvraag op.

Geef een locatie op waar het bestand moet worden opgeslagen en klik op [Openen].

Klik op [Voltooien].