Przygotowywanie serwera do użycia funkcji uwierzytelniania użytkownika
W przypadku, gdy uwierzytelnianie systemu Windows lub Autoryzacja LDAP jest używane po raz pierwszy, należy się upewnić, że środowisko serwera spełnia wymagania dotyczące uwierzytelniania użytkowników, oraz skonfigurować wymagane ustawienia.
Korzystanie z autoryzacji Windows
Serwer należy przygotować w następujący sposób:
Sprawdź wymagania dotyczące autoryzacji Windows.
Zainstaluj na serwerze moduł serwera sieci Web (IIS) oraz Usługi certyfikatów Active Directory.
Utwórz nowy certyfikat serwera.
Tworzenie certyfikatu nie jest wymagane na potrzeby przesyłania informacji o użytkowniku, które nie są szyfrowane.
Korzystanie z Autoryzacja LDAP
Sprawdź wymagania dotyczące Autoryzacja LDAP i skonfiguruj ustawienia zgodnie ze środowiskiem serwera.
Autoryzacja Windows
Pozycje |
Wyjaśnienie |
---|---|
System operacyjny |
Windows Server 2012/2012 R2/2016/2019/2022 |
Metoda autoryzacji |
Obsługiwane są następujące metody uwierzytelniania:
|
Wymagania dotyczące uwierzytelniania |
|
Serwer może uwierzytelniać użytkowników zarządzanych w innych domenach, ale nie może uzyskiwać informacji, takich jak adres e-mail.
Dane uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Jeżeli w kontrolerze domeny został utworzony nowy użytkownik i przy konfiguracji hasła zaznaczona została opcja konieczności zmiany hasła przy następnym logowaniu, należy najpierw zalogować się do komputera i zmienić hasło.
Jeśli na serwerze Windows zostało włączone konto Gość, może nastąpić uwierzytelnianie także użytkowników niezarejestrowanych w kontrolerze domeny. Jeśli konto to jest włączone, użytkownicy rejestrowani są w Książce adresowej i mogą korzystać z funkcji dostępnych w ramach opcji „* Domyślna grupa”.
Autoryzacja LDAP
Pozycje |
Objaśnienia |
---|---|
Używana wersja |
LDAP 2.0/3.0 |
Metoda autoryzacji |
Obsługiwane są następujące metody uwierzytelniania:
W przypadku wybrania uwierzytelniania Cleartext zostanie włączone uproszczone uwierzytelnianie LDAP. Uproszczone uwierzytelnianie może być wykonywane przy użyciu atrybutu użytkownika (np. cn lub uid) zamiast DN. |
Wymagania dotyczące uwierzytelniania |
|
Uwagi dotyczące skonfigurowania serwera LDAP przy użyciu usługi Active Directory
Uwierzytelnianie anonimowe może być dostępne. W celu zwiększenia bezpieczeństwa należy wyłączyć uwierzytelnianie anonimowe.
Dane uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.
Przy Autoryzacji LDAP nie można określić ograniczeń dostępu dla grup zarejestrowanych na serwerze.
Wpisując nazwę logowania użytkownika i hasło nie należy używać dwubajtowych znaków języka japońskiego, chińskiego tradycyjnego, chińskiego uproszczonego lub koreańskiego (Hangul). Jeżeli w haśle lub nazwie użytkownika użyte zostaną znaki dwubajtowe, nie można przeprowadzać autoryzacji za pomocą programu Web Image Monitor.
Używając urządzenia po raz pierwszy, użytkownik może użyć Dostępne funkcje określonego w [Zarządzanie autoryzacją użytkownika].
Aby określić Dostępne funkcje dla każdego użytkownika, zarejestruj użytkownika razem z Dostępne funkcje w książce adresowej lub określ Dostępne funkcje w przypadku użytkownika zarejestrowanego automatycznie w książce adresowej.
Zainstalowanie wymaganej usługi na serwerze systemu Windows pozwala automatycznie uzyskiwać informacje o użytkownikach zarejestrowanych w usłudze Active Directory.
W menu [Start] kliknij opcję [Menedżer serwera].
W menu [Zarządzaj] kliknij polecenie [Dodaj role i funkcje].
Kliknij przycisk [Next].
Wybierz opcję [Instalacja oparta na rolach lub oparta na funkcjach] i kliknij przycisk [Dalej].
Wybierz serwer, a następnie kliknij przycisk [Dalej].
Zaznacz pola wyboru [Usługi certyfikatów Active Directory] i [Serwer sieci Web (IIS)], a następnie kliknij przycisk [Dalej].
Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].Zaznacz funkcje, które chcesz zainstalować, i kliknij przycisk [Dalej].
Przeczytaj informacje, a następnie kliknij przycisk [Dalej].
Upewnij się, że w oknie [Usługi certyfikatów Active Directory] w obszarze [Usługi ról] jest zaznaczone pole [Urząd certyfikacji], i kliknij przycisk [Dalej].
Przeczytaj informacje, a następnie kliknij przycisk [Dalej].
W przypadku korzystania z systemu Windows Server 2016 przejdź do kroku 12 po zapoznaniu się z informacjami.Zaznacz usługi ról, które chcesz zainstalować obszarze [Serwer sieci Web (IIS)], i kliknij przycisk [Dalej].
Kliknij przycisk [Install] (Instaluj).
W przypadku korzystania z systemu Windows Server 2019 lub Windows Server 2022 kliknij przycisk [Zamknij].
Po zakończeniu instalacji kliknij ikonę powiadomień menedżera serwera, a następnie opcję [Konfiguruj usługi certyfikatów Active Directory na serwerze docelowym].
Kliknij przycisk [Next].
Kliknij opcję [Urząd certyfikacji] w obszarze usługi roli i kliknij przycisk [Dalej].
Wybierz opcję [Urząd certyfikacji przedsiębiorstwa] i kliknij przycisk [Dalej].
Wybierz opcję [Główny urząd certyfikacji], a następnie kliknij przycisk [Dalej].
Wybierz opcję [Utwórz nowy klucz prywatny], a następnie kliknij przycisk [Dalej].
Wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu, które zostaną użyte do utworzenia nowego klucza prywatnego, a następnie kliknij przycisk [Dalej].
W polu [Nazwa ogólna tego urzędu certyfikacji:] podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].
Wybierz okres ważności, a następnie kliknij przycisk [Dalej].
Pozostaw opcje [Lokalizacja bazy danych certyfikatów:] i [Lokalizacja dziennika bazy danych certyfikatów:] bez zmian, a następnie kliknij przycisk [Dalej].
Kliknij przycisk [Konfiguruj].
Po wyświetleniu komunikatu „Konfigurowanie powiodło się” kliknij przycisk [Zamknij].
Aby szyfrować informacje dotyczące użytkowników, utwórz certyfikat serwera na serwerze Windows. Na potrzeby przykładu użyto systemu Windows Server 2016.
W menu [Start] kliknij kolejno opcję [Wszystkie aplikacje] i [Menedżer usług Internet Information Services (IIS)] w [Narzędzia administracyjne].
W lewej kolumnie kliknij opcję [Nazwa serwera], a następnie kliknij dwukrotnie pozycję [Certyfikat serwera].
W prawej kolumnie kliknij polecenie [Utwórz żądanie certyfikatu...].
Wprowadź wszystkie informacje, a następnie kliknij przycisk [Dalej].
W polu [Dostawca usług kryptograficznych:] wybierz dostawcę, a następnie kliknij przycisk [Dalej].
Kliknij przycisk [...], a następnie podaj nazwę pliku żądania certyfikatu.
Wybierz miejsce, gdzie plik ma zostać zapisany, a następnie kliknij przycisk [Otwórz].
Kliknij [Koniec].