Подготовка сервера к использованию для аутентификации пользователя

При первом использовании аутентификации Windows или LDAP в качестве способа аутентификации пользователей необходимо убедиться, что используемая среда сервера соответствует требованиям функции аутентификации пользователя, а также настроить необходимые параметры.

Использование аутентификации Windows

Подготовьте сервер, выполнив следующее.

Проверьте соответствие требованиям аутентификации Windows.
Установите веб-сервер (IIS) и службу сертификации Active Directory на сервере.
Создайте сертификат сервера.
Для передачи незашифрованной информации пользователя не требуется создание сертификата сервера.

Использование аутентификации LDAP

Проверьте соответствие требованиям аутентификации LDAP и при необходимости настройте параметры в соответствии с условиями среды сервера.

Требования к аутентификации сервера, используемой для аутентификации пользователей

Аутентификация Windows
Элементы	Пояснение
Доступная операционная система	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Чтобы использовать аутентификацию Kerberos при работе с ОС Windows Server 2008, установите Service Pack 2 (SP 2) и выше.
Способ аутентификации	Предусмотрена поддержка указанных далее способов аутентификации. Аутентификация NTLM (NTLMv1/NTLMv2) Аутентификация Kerberos
Требования к аутентификации	Настройте контроллер домена в заданном домене. Чтобы получить данные пользователя при работе с активным каталогом, используйте LDAP. Рекомендуется, чтобы передача данных между аппаратом и сервером LDAP была зашифрована с помощью SSL/TLS. Сервер должен поддерживать метод шифрования с помощью TLS 1.0/1.1/1.2 или SSL 3.0. Зарегистрируйте сертификат сервера контроллера домена заранее. Создание сертификата сервера Поддержка протокола TLS 1.0/SSL 3.0 отключена в заводских настройках по умолчанию. Для включения поддержки протокола TLS 1.0/SSL 3.0 задайте его использование в приложении Web Image Monitor. Передача данных между аппаратом и сервером центра распределения ключей (KDC) должна быть зашифрована, если аутентификация Kerberos включена. Шифрование передаваемых по сети данных

Примечание

Сервер может использоваться для аутентификации пользователей, управляемых в других доменах, но не для получения такой информации, как, например, адрес электронной почты.
Адрес электронной почты невозможно получить, если аутентификация Kerberos включена одновременно с поддержкой SSL/TLS.
Даже если информация аутентифицированного пользователя, например адрес электронной почты, была изменена в адресной книге аппарата, во время выполнения аутентификации она может быть перезаписана информацией с сервера.
Если в контроллере домена создана новая учетная запись пользователя, а для конфигурации пароля выбран вариант "Пользователь должен сменить пароль при следующем входе в систему", в первую очередь следует войти в систему компьютера и изменить пароль.
Если на сервере Windows включена гостевая учетная запись, то аутентификацию могут пройти даже пользователи, не зарегистрированные в контроллере домена. Если эта учетная запись доступна, пользователи, зарегистрировавшиеся в адресной книге, могут использовать функции, указанные в пункте [*Группа по умолчанию].

Аутентификация LDAP
Элементы	Пояснения
Доступная версия	Версия LDAP 2.0/3.0
Способ аутентификации	Аутентификация Kerberos Дайджест-аутентификация Аутентификация незашифрованного текста При выборе аутентификации незашифрованного текста будет включена упрощенная аутентификация LDAP. Упрощенная аутентификация может выполняться с атрибутом пользователя (например, cn или uid) вместо DN.
Требования к аутентификации	Для использования SSL/TLS сервер должен поддерживать метод шифрования с помощью TLS 1.0/1.1/1.2 или SSL 3.0. Поддержка протокола TLS 1.0/SSL 3.0 отключена в заводских настройках по умолчанию. Для включения поддержки протокола TLS 1.0/SSL 3.0 задайте его использование в приложении Web Image Monitor. Чтобы использовать аутентификацию Kerberos, необходимо зарегистрировать область для обособления зоны сетевого подключения. Регистрация области Передача данных между аппаратом и сервером центра распределения ключей (KDC) должна быть зашифрована, если аутентификация Kerberos включена. Шифрование передаваемых по сети данных Когда используется LDAP, только версия 3.0 будет поддерживать дайджест-аутентификацию.

Примечания относительно случаев, когда параметры сервера LDAP настроены с использованием Active Directory

Адрес электронной почты невозможно получить, если аутентификация Kerberos включена одновременно с поддержкой SSL/TLS.
Может быть доступна анонимная аутентификация. Чтобы повысить уровень безопасности, отключите функцию анонимной аутентификации.

Примечание

Даже если информация аутентифицированного пользователя, например адрес электронной почты, была изменена в адресной книге аппарата, во время выполнения аутентификации она может быть перезаписана информацией с сервера.
В случае использования аутентификации LDAP нельзя задавать ограничения доступа для групп, зарегистрированных на сервере.
Нельзя использовать двухбайтовые символы японского, традиционного и упрощенного китайского или корейского языка хангул при вводе имени регистрации пользователя или пароля. При использовании двухбайтовых символов нельзя выполнить аутентификацию с помощью Web Image Monitor.
При работе с аппаратом в первый раз пользователь может воспользоваться параметром Доступные функции, заданном в меню [Управление аутентификацией пользователя].
Чтобы задать Доступные функции для каждого пользователя, необходимо зарегистрировать пользователя и Доступные функции в адресной книге, или же функции, которые доступны пользователю, зарегистрированному в адресной книге, можно задать автоматически.

Установка веб-сервера (IIS) и службы сертификации Active Directory

Установите требуемую службу на сервере Windows для автоматического получения информации пользователя, зарегистрированной в Active Directory.

Windows Server 2012/2016/2019

В меню [Пуск] нажмите [Диспетчер сервера].

В меню [Управление] нажмите на [Добавить роли и компоненты].

Нажмите [Далее].

Выберите [Установка ролей или компонентов], а затем нажмите [Далее].

Выберите сервер, а затем нажмите [Далее].

Установите флажки [Служба сертификации Active Directory] и [Веб-сервер (IIS)], а затем нажмите [Далее].

Если появится уведомление с подтверждением, нажмите [Добавить компоненты].

Проверьте компоненты, которые необходимо установить, а затем нажмите [Далее].

Прочитайте информацию, а затем нажмите [Далее].

Убедитесь, что [Центр сертификации] выбран в области служб ролей в службах сертификации Active Directory, а затем нажмите [Далее].

Прочитайте информацию, а затем нажмите [Далее].

При использовании Windows Server 2016 перейдите к шагу 12 после прочтения информации.

Проверьте службы ролей, которые необходимо установить, в разделе веб-сервера (IIS), а затем нажмите [Далее].

Нажмите [Установить] (Install).

После завершения установки нажмите значок уведомления диспетчера сервера, а затем нажмите [Настроить службу сертификации Active Directory на конечном сервере].

Нажмите [Далее].

Установите флажок [Центр сертификации] в службе ролей, а затем нажмите [Далее].

Выберите [ЦС предприятия], а затем нажмите [Далее].

Выберите [Корневой ЦС], а затем нажмите [Далее].

Выберите [Создать новый закрытый ключ], а затем нажмите [Далее].

Для создания нового закрытого ключа выберите поставщика службы шифрования, длину ключа и алгоритм хеширования, а затем нажмите [Далее].

В поле [Общее имя для этого ЦС:] введите название центра сертификации, а затем нажмите [Далее].

Выберите срок действия, а затем нажмите [Далее].

Оставьте [Расположение базы данных сертификата:] и [Место регистрации базы данных сертификата:] без изменений, а затем нажмите [Далее].

Нажмите [Настроить].

Когда появится уведомление "Настройка выполнена успешно", нажмите [Закрыть].

Windows Server 2008 R2

В меню [Пуск] выберите [Администрирование], а затем запустите диспетчер сервера.

В левом столбце выберите [Роли], нажмите [Добавить роли] в меню [Действие].

Нажмите [Далее].

Установите флажки для [Веб-сервер (IIS)] и [Службы сертификации Active Directory], а затем нажмите [Далее].

Если появится уведомление с подтверждением, нажмите [Добавить компоненты].

Прочитайте информацию, а затем нажмите [Далее].

Установите флажок [Центр сертификации], а затем нажмите [Далее].

Выберите [Предприятие] и нажмите [Далее].

Выберите [Корневой ЦС], а затем нажмите [Далее].

Выберите [Создать новый закрытый ключ], а затем нажмите [Далее].

Чтобы создать новый закрытый ключ, выберите поставщика службы шифрования, длину ключа и алгоритм хеширования, а затем нажмите [Далее].

В поле [Общее имя для этого ЦС:] введите название центра сертификации, а затем нажмите [Далее].

Выберите срок действия, а затем нажмите [Далее].

Ознакомьтесь с примечаниями, а затем нажмите [Далее].

Выберите службы ролей, которые необходимо установить, а затем нажмите [Далее].

Нажмите [Установить] (Install).

Начинается установка дополнительных компонентов.

Создание сертификата сервера

Чтобы зашифровать информацию пользователя, необходимо создать сертификат сервера на сервере Windows. В качестве примера используется Windows Server 2016.

В меню [Пуск] наведите курсор на [Все приложения], а затем выберите [Диспетчер служб IIS] в разделе [Администрирование].

В левом столбце нажмите [Имя сервера], а затем дважды нажмите [Сертификат сервера].

В правом столбце нажмите [Создать запрос сертификата...].

Введите всю необходимую информацию, а затем нажмите [Далее].

В списке [Поставщик службы шифрования:] выберите поставщика и нажмите [Далее].

Нажмите [...] и укажите имя файла для запроса сертификата.

Укажите место сохранения файла и нажмите кнопку [Открыть].

Нажмите [Готово] (Finish).