Palvelimen valmistelu käyttäjän todennusta varten

Kun käytetään Windows- tai LDAP-todennusta käyttäjän todennustapana ensimmäistä kertaa, tarkista, että palvelinympäristö täyttää käyttäjän todennuksen vaatimukset, ja määritä tarvittavat asetukset.

Windows-todennuksen käyttäminen

Valmistele palvelin seuraavasti:

Tarkista Windows-todennuksen vaatimukset.
Asenna Web Server (IIS) ja "Active Directory Certificate Service" palvelimelle.
Luo palvelinvarmenne.
Palvelinvarmennetta ei tarvitse luoda, kun siirretään salaamattomia käyttäjätietoja.

LDAP-todennuksen käyttäminen

Tarkista LDAP-todennuksen vaatimukset ja määritä tarvittavat asetukset palvelinympäristön mukaan.

Palvelintodennuksen vaatimukset, kun sitä käytetään käyttäjän todennukseen

Windows-todennus
Kohteet	Selitys
Käyttöjärjestelmä	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Kerberos-todennusta voidaan käyttää Windows Server 2008 -ympäristössä, jos on asennettu Service Pack 2 tai uudempi.
Todennustapa	Tukee seuraavia todennustapoja: NTLM-todennus (NTLMv1/NTLMv2) Kerberos-todennus Kun halutaan määrittää Kerberos-todennus, käyttäjät todentavan palvelimen on tuettava Kerberos-todennusta. Jos palvelin ei tue sitä, NTLM-todennus valitaan automaattisesti.
Todennuksen vaatimukset	Aseta toimialueen ohjain määritetylle toimialueelle. Kun käytössä on Active Directory, hae käyttäjätiedot LDAP:lla. On suositeltavaa salata laitteen ja LDAP-palvelimen välinen tiedonsiirto SSL-/TLS-salauksella. Palvelimen on tuettava salaustapaa TLS1.0/1.1/1.2 tai SSL 3.0. Tallenna toimialueen ohjaimen palvelinvarmenne etukäteen. Palvelinvarmenteen luominen TLS1.0/SSL 3.0 on pois käytöstä oletuksena olevissa tehdasasetuksissa. Kun haluat käyttää TLS1.0-/SSL 3.0 -salausta, määritä TLS1.0/SSL 3.0 käyttöön Web Image Monitorilla. Laitteen ja KDC (Key Distribution Server) -palvelimen välinen tietoliikenne on salattava, jos Kerberos-todennus on käytössä. Verkkoliikenteen salaaminen

Palvelin voi todentaa toisilla toimialueilla hallittuja käyttäjiä, mutta ei voi hakea tietoja, kuten sähköpostiosoitetta.
Kun Kerberos-todennus on käytössä, sähköpostiosoitetta ei voi hakea, jos SSL/TLS on käytössä.
Vaikka muokkaat todennetun käyttäjän tietoja, kuten sähköpostiosoitetta, laitteen osoitekirjassa, se saatetaan korvata palvelimesta tulevalla tiedolla, kun todennus suoritetaan.
Jos olet luonut uuden käyttäjän toimialueen ohjaimessa ja valinnut "Käyttäjän on muutettava salasana seuraavalla kirjautumiskerralla" , kirjaudu ensin tietokoneelle ja vaihda salasana.
Jos Windows-palvelimen vierastili on käytössä, myös käyttäjät, joita ei ole rekisteröity toimialueen ohjauskoneelle, voidaan todentaa. Kun tämä tili on käytössä, käyttäjät rekisteröidään osoitelistaan ja he voivat käyttää kohdan [*Oletusryhmä] käytössä olevia toimintoja.

LDAP-todennus
Kohteet	Selitykset
Käytettävä versio	LDAP-versio 2.0/3.0
Todennustapa	Kerberos-todennus Digest-todennus Selkotekstitodennus Kun valitset selkotekstitodennuksen, yksinkertaistettu LDAP-todennus otetaan käyttöön. Yksinkertaisessa todennuksessa voidaan käyttää käyttäjämääritettä (kuten cn tai uid) DN:n sijasta.
Todennuksen vaatimukset	Käytettäessä SSL-/TLS-salausta palvelimen on tuettava salaustapaa TLS1.0/1.1/1.2 tai SSL 3.0. TLS1.0/SSL 3.0 on pois käytöstä oletuksena olevissa tehdasasetuksissa. Kun haluat käyttää TLS1.0-/SSL 3.0 -salausta, määritä TLS1.0/SSL 3.0 käyttöön Web Image Monitorilla. Kun haluat käyttää Kerberos-salausta, tallenna alue verkkoalueen määrittämiseksi. Käyttäjän opas (täysi versio) englanniksi. Laitteen ja KDC (Key Distribution Server) -palvelimen välinen tietoliikenne on salattava, jos Kerberos-todennus on käytössä. Verkkoliikenteen salaaminen Kun LDAP on käytössä, Digest-todennusta voi käyttää vain versiolla 3.0.

Huomatukset, kun LDAP-palvelin on määritetty Active Directoryn avulla

Kun Kerberos-todennus on käytössä yhdessä SSL-/TLS-salauksen kanssa, sähköpostiosoitetta ei voi hakea.
Anonyymi todennus voi olla käytettävissä. Paranna turvallisuutta poistamalla anonyymi todennus käytöstä.

Vaikka muokkaat todennetun käyttäjän tietoja, kuten sähköpostiosoitetta, laitteen osoitekirjassa, se saatetaan korvata palvelimesta tulevalla tiedolla, kun todennus suoritetaan.
LDAP-todennuksessa et voi määrittää palvelimelle tallennettujen ryhmien käyttöoikeuksia.
Kun laitetta käytetään ensimmäistä kertaa, käyttäjän käytössä ovat "Käytettävissä olevat toiminnot", jotka on määritetty kohdassa [Käyttäjän todennuksen hallinta].
Määritä "Käytettävissä olevat toiminnot" kullekin käyttäjälle tallentamalla käyttäjä ja "Käytettävissä olevat toiminnot" osoitekirjaan tai määrittämällä käytettävissä olevat toiminnot käyttäjälle, joka on tallennettu osoitekirjaan automaattisesti.

Web Server (IIS) -palvelimen ja "Active Directory Certificate Service" -palvelun asentaminen

Asenna Windows-palvelimelle tarvittava palvelu, jolla haetaan Active Directoryyn tallennetut käyttäjätiedot automaattisesti.

Windows Server 2012/2016

Valitse [Käynnistä]-valikosta [Palvelimen hallinta].

Valitse [Hallitse]-valikosta [Lisää rooleja ja toimintoja].

Napsauta [Seuraava].

Valitse [Roolipohjainen tai toimintopohjainen asennus] ja napsauta [Seuraava].

Valitse palvelin.

Merkitse valintaruudut [Active Directory -varmennepalvelut] ja [Web Server (IIS)] ja napsauta [Seuraava].

Jos näyttöön tulee vahvistusviesti, napsauta [Lisää toimintoja].

Tarkista asennettavat toiminnot, ja napsauta [Seuraava].

Lue sisältö ja napsauta [Seuraava].

Varmista, että Active Directory -varmennepalveluiden alueella Roolipalvelut on merkittynä kohta [Varmenteen myöntäjä], ja napsauta [Seuraava].

Lue sisältö ja napsauta [Seuraava].

Kun käytössä on Windows Server 2016, jatka kohtaan 12, kun olet lukenut sisällön.

Valitse asennettavat roolipalvelut kohdasta Web Server (IIS) ja napsauta [Seuraava].

Napsauta [Install].

Kun asennus on suoritettu, napsauta palvelimen hallinnan ilmoituskuvaketta ja napsauta [Määritä Active Directory -varmennepalvelut kohdepalvelimessa].

Napsauta [Seuraava].

Tarkista roolipalvelusta [Varmenteen myöntäjä] ja napsauta [Seuraava].

Valitse [Yrityksen varmenteen myöntäjä] ja napsauta [Seuraava].

Valitse [Varmenteiden päämyöntäjä] ja napsauta [Seuraava].

Valitse [Luo uusi yksityinen avain] ja napsauta [Seuraava].

Valitse salauspalvelu, avaimen pituus ja hajautusalgoritmi uuden yksityisavaimen luomiseen ja napsauta [Seuraava].

Syötä varmenteen myöntäjän nimi kohdassa "Yleinen nimi tälle varmenteen myöntäjälle:" ja napsauta [Seuraava].

Valitse voimassaoloaika ja napsauta [Seuraava].

Älä muuta kohtia "Varmenteen tietokannan sijainti:" ja "Varmenteen tietokantalokin sijainti:". Napsauta sitten [Seuraava].

Napsauta [Määritä].

Kun näyttöön tulee viesti "Määritys onnistui", napsauta [Sulje].

Windows Server 2008 R2

Valitse "Käynnistä"-valikosta "Valvontatyökalut" ja käynnistä palvelimen hallinta.

Valitse vasemmassa sarakkeessa [Roolit] ja napsauta "Toiminto"-valikossa [Lisää rooli].

Napsauta [Seuraava].

Merkitse valintaruudut "Web Server (IIS)" ja "Active Directory -varmennepalvelut" ja napsauta [Seuraava].

Jos näyttöön tulee vahvistusviesti, napsauta [Lisää toimintoja].

Lue sisältö ja napsauta [Seuraava].

Tarkista "Certification Authority" ja napsauta sitten [Seuraava].

Valitse "Yritys" ja napsauta [Seuraava].

Valitse "Varmenteiden päämyöntäjä" ja napsauta [Seuraava].

Valitse "Luo uusi yksityinen avain" ja napsauta [Seuraava].

Valitse salauspalvelu, avaimen pituus ja hajautusalgoritmi uuden yksityisavaimen luomiseen ja napsauta [Seuraava].

Syötä varmenteen myöntäjän nimi kohdassa "Yleinen nimi tälle varmenteen myöntäjälle:" ja napsauta [Seuraava].

Valitse voimassaoloaika ja napsauta [Seuraava].

Älä muuta kohtia "Varmenteen tietokannan sijainti:" ja "Varmenteen tietokantalokin sijainti:". Napsauta sitten [Seuraava].

Lue huomautukset ja napsauta [Seuraava].

Valitse asennettavat roolipalvelut ja napsauta [Seuraava].

Napsauta [Install].

Lisättyjen ominaisuuksien asennus alkaa.

Palvelinvarmenteen luominen

Kun haluat salata käyttäjätiedot, luo palvelinvarmenne Windows-palvelimella. Esimerkissä käytetään Windows Server 2016 -palvelinta.

Valitse [Käynnistä]-valikossa [Kaikki sovellukset] ja napsauta sitten [IIS (Internet Information Services) -palvelujen hallinta] kohdassa [Valvontatyökalut].

Napsauta vasemmassa sarakkeessa kohtaa [Palvelimen nimi] ja kaksoisnapsauta sitten kohtaa [Palvelinvarmenne].

Napsauta oikeassa sarakkeessa [Luo varmennepyyntö...].

Anna kaikki tarvittavat tiedot ja napsauta [Seuraava].

Valitse palveluntarjoaja kohdassa "Salauspalvelu:" ja napsauta [Seuraava].

Napsauta [...] ja määritä varmennepyynnön tiedostonimi.

Määritä tiedoston tallennuspaikka ja napsauta [Avaa].

Napsauta [Valmis].