Preparar o Servidor para Utilização para Autenticação dos Utilizadores

Se utilizar a autenticação Windows ou a autenticação LDAP como o método de autenticação dos utilizadores pela primeira vez, verifique se o ambiente do seu servidor cumpre os requisitos de autenticação dos utilizadores e configure as definições necessárias.

Para utilizar a autenticação Windows

Prepare o servidor da forma seguinte:

Verifique os requisitos da autenticação Windows.
Instale o servidor Web (IIS) e o "Serviço de Certificado do Active Directory" no servidor.
Crie um certificado de servidor.
Não precisa de criar um certificado de servidor para transmitir informações do utilizador que não estejam encriptadas.

Para utilizar a autenticação LDAP

Verifique os requisitos da autenticação LDAP e configure as definições de acordo com o ambiente do servidor, conforme necessário.

Requisitos de autenticação do servidor utilizado para autenticação dos utilizadores

Autenticação Windows
Itens	Explicação
Sistema operativo utilizável	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Para utilizar a autenticação Kerberos no Windows Server 2008, instale o Service Pack 2 ou mais recente.
Método de autenticação	Suporta os seguintes sistemas de autenticação: Autenticação NTLM (NTLMv1/NTLMv2) Autenticação Kerberos Para especificar a autenticação Kerberos, o servidor que autentica os utilizadores deve suportar a autenticação Kerberos. Se o servidor não a suportar, a autenticação NTLM é automaticamente selecionada.
Requisitos para autenticação	Configure uma controladora de domínio no domínio especificado. Para obter informações do utilizador quando o Active Directory estiver a ser executado, utilize LDAP. Recomenda-se a encriptação da comunicação entre o equipamento e o servidor LDAP utilizando SSL/TLS. O servidor deve suportar o método de encriptação TLS1.0/1.1/1.2 ou SSL 3.0. Registe previamente o certificado de servidor da controladora de domínio. Criar um certificado de servidor O TLS1.0/SSL 3.0 encontra-se desativado nas definições predefinidas de fábrica. Para utilizar o TLS1.0/SSL 3.0, especifique a ativação do TLS1.0/SSL 3.0 em Web Image Monitor. A transmissão de dados entre o equipamento e o servidor KDC (Key Distribution Center) deve ser encriptada se a autenticação Kerberos estiver ativada. Encriptar a Comunicação de Rede

Nota

O servidor pode autenticar utilizadores geridos em outros domínios, mas não pode obter informações como o endereço de e-mail.
Quando a autenticação Kerberos está ativada, o endereço de e-mail não pode ser obtido se o SSL/TLS se encontrar especificado.
Mesmo que edite as informações de um utilizador autenticado, tais como o endereço de e-mail no livro de endereços, estas podem ser substituídas pelas informações provenientes do servidor onde a autenticação é efetuada.
Se tiver criado um novo utilizador na controladora de domínio e tiver selecionado "O utilizador tem de alterar a palavra-passe no próximo início de sessão" na configuração da palavra-passe, inicie a sessão no computador em primeiro lugar e, em seguida, altere a palavra-passe.
Se a conta "Convidado" no servidor Windows estiver ativa, os utilizadores não registados na controladora de domínio podem ser autenticados. Quando esta conta está ativada, os utilizadores são registados no livro de endereços e podem utilizar as funções disponíveis em [*Grupo predefinido].

Autenticação LDAP
Itens	Explicações
Versão utilizável	Versão LDAP 2.0/3.0
Método de autenticação	Autenticação Kerberos Autenticação Digest Autenticação de texto simples Quando seleciona autenticação de texto simples, é ativada a autenticação simplificada LDAP. A autenticação simplificada pode ser realizada com um atributo de utilizador (tal como cn ou uid), em vez de DN.
Requisitos para autenticação	Para utilizar o SSL/TLS, o servidor deve suportar o método de encriptação TLS1.0/1.1/1.2 ou SSL 3.0. O TLS1.0/SSL 3.0 encontra-se desativado nas definições predefinidas de fábrica. Para utilizar o TLS1.0/SSL 3.0, especifique a ativação do TLS1.0/SSL 3.0 em Web Image Monitor. Para utilizar a autenticação Kerberos, registe o domínio para distinguir a área de rede. Tipo de ecrã de definições: Standard Guia do Utilizador (Versão Completa) Tipo de ecrã de definições: Clássico Guia do Utilizador (Versão Completa) A transmissão de dados entre o equipamento e o servidor KDC (Key Distribution Center) deve ser encriptada se a autenticação Kerberos estiver ativada. Encriptar a Comunicação de Rede Quando LDAP é usado, apenas a versão 3.0 pode utilizar a autenticação Digest.

Notas acerca da configuração do servidor LDAP utilizando o Active Directory

Quando a autenticação Kerberos está ativada juntamente com o SSL/TLS, não é possível obter o endereço de e-mail.
A autenticação anónima pode estar disponível. Para aumentar a segurança, defina a autenticação anónima como "Desativada".

Nota

Mesmo que edite as informações de um utilizador autenticado, tais como o endereço de e-mail no livro de endereços, estas podem ser substituídas pelas informações provenientes do servidor onde a autenticação é efetuada.
Com a autenticação LDAP, não pode especificar limites de acesso para grupos registados no servidor.
Quando utilizar pela primeira vez o equipamento, o utilizador pode utilizar as "Funções disponíveis" especificadas em [Gestão de autenticação do utilizador].
Para especificar as "Funções disponíveis" para cada utilizador, registe o utilizador juntamente com as "Funções disponíveis" no livro de endereços ou especifique as Funções disponíveis no utilizador registado automaticamente no livro de endereços.

Instalar o servidor Web (IIS) e o "Serviço de Certificado do Active Directory"

Instale o serviço necessário no servidor Windows para obter as informações do utilizador registadas no Active Directory automaticamente.

Servidor Windows 2012/2012 R2/2016/2019

No menu [Iniciar], clique em [Gestor de servidores].

No menu [Gerir], clique em [Adicionar funções e funcionalidades].

Clique em [Seguinte].

Selecione [Instalação baseada na função ou na funcionalidade] e clique em [Seguinte].

Selecione um servidor.

Selecione as caixas [Serviço de Certificado do Active Directory] e [Servidor Web (IIS)] e, em seguida, clique em [Seguinte].

Se surgir uma mensagem de confirmação, clique em [Adicionar funcionalidades].

Selecione as funcionalidades a instalar e clique em [Seguinte].

Leia as informações de conteúdo e, em seguida, clique em [Seguinte].

Certifique-se de que a opção [Autoridade de certificação] está selecionada na área Serviços de função nos Serviços de Certificados do Active Directory e clique em [Seguinte].

Leia as informações de conteúdo e, em seguida, clique em [Seguinte].

Se utilizar o Windows Server 2016, avance para o passo 12 após a leitura das informações de conteúdo.

Selecione os serviços de função a instalar com o Servidor Web (IIS) e, em seguida, clique em [Seguinte].

Clique em [Instalar].

Após concluir a instalação, clique no ícone de notificação do gestor de servidores e, em seguida, em [Configurar Serviço de Certificado do Active Directory no servidor de destino].

Clique em [Seguinte].

Marque [Autoridade de certificação] na área de serviços de função e, em seguida, clique em [Seguinte].

Selecione [AC empresarial] e, em seguida, clique em [Seguinte].

Selecione [AC de raiz] e, em seguida, clique em [Seguinte].

Selecione [Criar uma nova chave privada] e, em seguida, clique em [Seguinte].

Selecione um fornecedor criptográfico, o comprimento da chave e o algoritmo hash para criar uma nova chave privada e, em seguida, clique em [Seguinte].

Em "Nome comum para esta AC:", introduza o nome da autoridade de certificação e, em seguida, clique em [Seguinte].

Selecione o período de validade e, em seguida, clique em [Seguinte].

Não efetue alterações em "Localização da base de dados de certificados:" nem em "Localização do registo da base de dados de certificados:" e, em seguida, clique em [Seguinte].

Clique em [Configurar].

Quando surgir a mensagem "Configuração bem-sucedida", clique em [Fechar].

Windows Server 2008 R2

No menu "Iniciar", vá a "Ferramentas de administrador" e, em seguida, inicie o gestor de servidores.

Clique em [Funções] na coluna esquerda e clique em [Adicionar funções] a partir do menu "Ação".

Clique em [Seguinte].

Selecione as caixas "Servidor Web (IIS)" e "Serviços de Certificados do Active Directory" e, em seguida, clique em [Seguinte].

Se surgir uma mensagem de confirmação, clique em [Adicionar funcionalidades].

Leia as informações de conteúdo e, em seguida, clique em [Seguinte].

Clique em "Autoridade de certificação" e, em seguida, clique em [Seguinte].

Selecione "Empresa" e, em seguida, clique em [Seguinte].

Selecione "AC de raiz" e, em seguida, clique em [Seguinte].

Selecione "Criar uma nova chave privada" e, em seguida, clique em [Seguinte].

Selecione um fornecedor de serviços criptográficos, o comprimento da chave e o algoritmo hash para criar uma nova chave privada e, em seguida, clique em [Seguinte].

Em "Nome comum para esta AC:", introduza o nome da autoridade de certificação e, em seguida, clique em [Seguinte].

Selecione o período de validade e, em seguida, clique em [Seguinte].

Não efetue alterações em "Localização da base de dados de certificados:" nem em "Localização do registo da base de dados de certificados:" e, em seguida, clique em [Seguinte].

Leia as notas e, em seguida, clique em [Seguinte].

Selecione os serviços de função a instalar e, em seguida, clique em [Seguinte].

Clique em [Instalar].

É iniciada a instalação de funcionalidades adicionais.

Criar um certificado de servidor

Para encriptar as informações do utilizador, crie um certificado no servidor Windows. O Windows Server 2016 é utilizado como exemplo.

No menu [Iniciar], clique em [Todas as aplicações] e, em seguida, clique em [Gestor de serviços de informação internet (IIS)] de [Ferramentas administrativas].

Na coluna esquerda, clique em [Nome do servidor] e, em seguida, faça duplo clique em [Certificado de servidor].

Na coluna direita, clique em [Criar Requisição de Certificado...].

Introduza todas as informações e, em seguida, clique em [Seguinte].

Em "Fornecedor de serviços criptográficos:", selecione um fornecedor e, em seguida, clique em [Seguinte].

Clique em [...] e, em seguida, especifique um nome de ficheiro para o pedido de certificado.

Especifique uma localização onde guardar o ficheiro e, em seguida, clique em [Abrir].

Clique em [Concluir].