Klargjøre serveren for bruk på brukerautentisering

Når Windows-eller LDAP-autentisering brukes som brukerautentiseringmetoed for første gang, kontroller at servermiljøet oppfyller kravene for brukerautentisering, og konfigurer de nødvendige innstillingene.

Slik bruker du Windows-autentisering

Klargjør serveren på følgende måte:

Kontroller kravene til Windows-autentisering.
Installer webserveren (IIS) og «Sertifikattjeneste for Active Directory» på serveren.
Opprett et serversertifikat.
Du trenger ikke opprette et nytt serversertifikat for å overføre brukerinformasjon som ikke er kryptert.

Slik bruker du LDAP-autentisering

Kontroller kravene for LDAP-autentisering, og konfigurer innstillingene i henhold til servermiljøet etter behov.

Krav til serverautentisering brukt til brukerautentisering

Windows-autentisering
Elementer	Forklaring
OS som kan brukes	Windows Server 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 / 2019 For å bruke Kerberos-autentisering under Windows Server 2008 må du installere Service Pack 2 eller nyere.
Autentiseringsmetode	Støtter følgende autentiseringsmetode: NTLM-autentisering (NTLMv1/NTLMv2) Kerberos-autentisering Hvis du vil angi Kerberos-autentisering, må serverautentiseringsbrukere støtte Kerberos-autentisering. Hvis serveren ikke støtter det, velges NTLM-autentisering automatisk.
Krav til autentisering	Konfigurer en domenekontroller i domenet du angir. Bruk LDAP for å innhente brukerinformasjon når Active Directory kjører. Det anbefales at kommunikasjon krypteres mellom maskinen og LDAP-serveren ved å bruke SSL/TLS. Serveren må støtte TLS 1.0/1.1/1.2- eller SSL 3.0-krypteringsmetode. Registrer serversertifikatet for domenekontrolleren på forhånd. Opprette et serversertifikat TLS 1.0/SSL 3.0 er deaktivert i standardinnstillingen fra fabrikk. Hvis du vil bruke TLS 1.0/SSL 3.0, angir du TLS 1.0/SSL 3.0 for å aktivere på Web Image Monitor. Overføring av data mellom maskinen og KDC-serveren (Key Distribution Center) må krypteres hvis Kerberos-autentisering er aktivert. Kryptere nettverkskommunikasjon

Merk

Serveren kan autentisere brukere administrert i andre domener, men kan ikke hente informasjon som en e-postadresse.
Når Kerberos-autentisering aktiveres, kan ikke e-postadressen hentes hvis SSL/TLS er angitt.
Selv hvis du redigerer en autentisert brukers informasjon, som en e-postadresse, i maskinens adressebok, kan den overskrives av informasjonen fra serveren når autentiseringen foretas.
Hvis du opprettet en ny bruker i domenekontrollerene og valgte «Bruker må endre passord ved neste pålogging» ved konfigureringen av passord, logger du først på datamaskinen og endrer passordet.
Hvis gjestekontoen på Windows-serveren er aktivert, kan brukere som ikke er registrert på domenekontrolleren autentiseres. Når denne kontoen er aktivert, kan brukere som er registrert i adresseboken bruke funksjonene som er tilgjengelige i [*Standardgruppe].

LDAP-autentisering
Elementer	Forklaringer
Versjon som kan brukes	LDAP-versjon 2.0/3.0
Autentiseringsmetode	Kerberos-autentisering Digest-autentisering Cleartext-autentisering Når du velger Cleartext-autentisering, aktiveres forenklet autentisering for LDAP. Forenklet autentisering kan benyttes med en brukerattributt (som cn eller uid) i stedet for DN.
Krav til autentisering	Hvis du vil bruke SSL/TLS, må serveren støtte TLS 1.0/1.1/1.2- eller SSL 3.0-krypteringsmetode. TLS 1.0/SSL 3.0 er deaktivert i standardinnstillingen fra fabrikk. Hvis du vil bruke TLS 1.0/SSL 3.0, angir du TLS 1.0/SSL 3.0 for å aktivere på Web Image Monitor. Hvis du vil bruke Kerberos-autentisering, registrerer du dataområdet for å skille ut nettverksområdet. Skjermtype for innstillinger: Standard «Registrere dataområdet», brukerveiledning på engelsk (full versjon). Skjermtype for innstillinger: Klassisk «Programmmere dataområdet», brukerveiledning på engelsk (full versjon). Overføring av data mellom maskinen og KDC-serveren (Key Distribution Center) må krypteres hvis Kerberos-autentisering er aktivert. Kryptere nettverkskommunikasjon Når du bruker LDAP, kan bare versjon 3.0 bruke Digest-autentisering.

Merknader når LDAP-serveren konfigureres med Active Directory

Når Kerberos-autentisering er aktivert sammen med SSL/TLS, kan ikke e-postadressen hentes.
Anonym autentisering kan være tilgjengelig. Hvis du vil forbedre sikkerheten, sett anonym autentisering til Deaktiver.

Merk

Selv hvis du redigerer en autentisert brukers informasjon, som en e-postadresse, i maskinens adressebok, kan den overskrives av informasjonen fra serveren når autentiseringen foretas.
Under LDAP-autentisering kan du ikke angi tilgangsbegrensninger for grupper som er registrert på serveren.
Når du bruker maskinen for første gang, kan brukeren bruke «Tilgjengelige funksjoner» angitt i [Styring av brukerautentisering].
Hvis du vil angi «Tilgjengelige funksjoner» for hver pruiker, registrerer du brukeren sammen med «Tilgjengelige funksjoner» i adresseboken, eller angi Tilgjengelige funksjoner i brukeren som registreres automatisk i adresseboken.

Installere webserveren (IIS) og «Sertifikattjeneste for Active Directory»

Installer påkrevd tjeneste på Windows-serveren for å hente brukerinformasjonen registrert i Active Directory, automatisk.

Windows Server 2012/2012 R2/2016/2019

På [Start]-menyen klikker du på [Serveradministrering].

På [Administrer]-menyen klikker du på [Legg til roller og funksjoner].

Trykk på [Neste].

Velg [Rollebasert eller funksjonbasert installasjon], og klikk så på [Neste].

Velg en server.

Velg avmerkingsboksene «Sertifikattjeneste for Active Directory» og «Web-server (IIS)» og klikk på [Neste].

Hvis en bekreftelsemelding vises, klikk på [Legg til funksjoner].

Kontroller funksjonene du vil installere, og klikk på [Neste].

Les innholdsinformasjonen, og klikk på [Neste].

Påse at [Sertifiseringsinstans] er valgt i Rolletjenester-området i Sertifikattjenester for Active Directory, og klikk så på [Neste].

Les innholdsinformasjonen, og klikk på [Neste].

Når du bruker Windows Server 2016, gå videre til trinn 12 etter å ha lest innholdsinformasjonen.

Kontroller rolletjenestene du vil installere under webserver (IIS), og klikk så på [Neste].

Klikk på [Installer].

Etter at installeringen er fullført, klikker du på varslingsikonet i serveradministrator, og klikker så på [Konfigurer sertifikattjeneste for Active Directory på målserveren].

Trykk på [Neste].

Klikk på [Sertifiseringsmyndighet] i området rolletjenesten, og klikk så på [Neste].

Velg [Foretaks-SM], og klikk deretter på [Neste].

Velg [Rot-SM], og klikk deretter på [Neste].

Velg [Opprett en ny privat nøkkel], og klikk deretter på [Neste].

Velg en tjenesteleverandør av krypteringstjenester, lengde på nøkkelen og en hash-algoritme for å opprette en ny privat nøkkel, og klikk deretter på [Neste].

I "Vanlig navn for denne SM:", angir du navnet på sertifiseringsmyndigheten, og klikker deretter på [Neste].

Velg gyldighetsperiode, og klikk deretter på [Neste].

La «Plassering av sertifikatsdatabase:» og «Plassering av sertifikatsdatabaselogg:» forbli uendret og klikk deretter på [Neste].

Klikk på [Konfigurere].

Når meldingen «Konfigurasjon vellykket» vises, klikker du på [Lukk].

Windows Server 2008 R2

Pek på [Administratorverktøy] på [Start]-menyen og start deretter Serveradministrering.

Klikk på [Roller] i venstre kolonne, og klikk på [Legg til roller] på menyen «Handling».

Trykk på [Neste].

Velg avmerkingsboksene for «Web-server (IIS)» og «Sertifikattjenester for Active Directory» og klikk deretter på [Neste].

Hvis en bekreftelsemelding vises, klikk på [Legg til funksjoner].

Les innholdsinformasjonen, og klikk deretter på [Neste].

Klikk på [Sertifiseringsmyndighet], og trykk deretter på [Neste].

Velg «Foretak», og klikk deretter på [Neste].

Velg «Rots-SM», og klikk deretter på [Neste].

Velg «Opprett en ny privat nøkkel», og klikk deretter på [Neste].

Velg en leverandør av krypteringstjenester, lengde på nøkkelen og en hash-algoritme for å opprette en ny privat nøkkel, og klikk deretter på [Neste].

I «Vanlig navn for denne SM:» angir du navnet på sertifiseringsmyndigheten, og klikker deretter på [Neste].

Velg gyldighetsperiode, og klikk deretter på [Neste].

La «Plassering av sertifikatsdatabase:» og «Plassering av sertifikatsdatabaselogg:» forbli uendret, og klikk deretter på [Neste].

Les merknadene, og klikk deretter på [Neste].

Velg rolletjenestene som skal installeres, og klikk deretter på [Neste].

Klikk på [Installer].

Installasjon av tilføyde funksjoner begynner.

Opprette et serversertifikat

Hvis du vil kryptere brukerinformasjon, opprett et serversertifikat på Windows-serveren. Windows Server 2016 brukes som et eksempel.

Klikk på [Alle applikasjoner] på [Start]-menyen, og klikk deretter på [Internet Information Services (IIS) Manager] i [Administrative verktøy].

I den venstre kolonnen klikker du på [Servernavn], og dobbeltklikker deretter på [Serversertifikat].

I høyre kolonne klikker du på [Opprett sertifikatforespørsel...].

Skriv inn all informasjon, og klikk på [Neste].

I "Leverandør av krypteringstjenester:" velger du en leverandør, og klikker deretter på [Neste].

Klikk på [...], og angi deretter et filnavn for sertifikatforespørselen.

Angi en plassering for lagring av filen, og klikk deretter på [Åpne].

Klikk på [Ferdig].