Příprava serveru používaného k ověřování uživatelů

Při prvním použití ověřování uživatelů metodou Windows nebo LDAP zkontrolujte, zda prostředí serveru splňuje požadavky pro ověřování uživatelů, a nakonfigurujte požadovaná nastavení.

Použití ověření Windows

Připravte server následovně:

Zkontrolujte požadavky ověření Windows.
Nainstalujte na serveru webový server (IIS) a službu AD CS (Active Directory Certificate Service).
Vytvořte certifikát serveru.
Pro přenos uživatelských informací v nešifrované podobě není nutno certifikát serveru vytvářet.

Použití ověření LDAP

Zkontrolujte požadavky ověření LDAP a podle potřeby nakonfigurujte nastavení prostředí serveru.

Požadavky pro ověřování uživatelů na serveru

Ověření Windows
Položky	Popis
Použitelný OS	Windows Server 2012/2012 R2/2016/2019
Metoda ověřování	Podporuje následující metody ověřování: Ověření NTLM (NTLMv1/NTLMv2) Ověření Kerberos
Požadavky pro ověřování	Nainstalujte řadič domény v zadané doméně. Pro získání uživatelských informací za chodu Active Directory použijte LDAP. Doporučujeme, aby komunikace mezi zařízením a serverem LDAP byla šifrována pomocí protokolu SSL/TLS. Server musí podporovat metodu šifrování TLS 1.0/1.1/1.2 nebo SSL 3.0. Napřed zaregistrujte certifikát serveru řadiče domény. Vytvoření certifikátu serveru Protokol TLS 1.0 / SSL 3.0 je ve výchozím nastavení z výroby deaktivován. Chcete-li používat protokol TLS 1.0 / SSL 3.0, aktivujte TLS 1.0 / SSL 3.0 v aplikaci Web Image Monitor. Když je aktivováno ověření Kerberos, přenos dat mezi zařízením a serverem KDC (Key Distribution Center) musí být šifrován. Šifrování síťové komunikace

Upozornění

Server může ověřovat uživatele spravované v jiných doménách, nemůže však získávat informace, např. e-mailové adresy.
Když je ověření Kerberos aktivováno spolu s protokolem SSL/TLS, nelze získat e-mailovou adresu.
I když můžete upravovat informace ověřeného uživatele v adresáři zařízení (např. jeho e-mailovou adresu), může při ověřování dojít k jejich přepsání informacemi ze serveru.
Pokud jste vytvořili nového uživatele v řadiči domény a v nastavení hesla zvolili „Uživatel musí změnit heslo při příštím přihlášení“, nejdříve se přihlaste k počítači a změňte heslo.
Pokud je na Windows serveru aktivován účet Host, je možné dát ověření i uživatelům nezaregistrovaným v řadiči domény. Když je tento účet aktivován, jsou uživatelé registrováni v adresáři a mohou používat dostupné funkce pod položkou [* Výchozí skupina].

Ověření LDAP
Položky	Vysvětlení
Použitelná verze	LDAP verze 2.0 / 3.0
Metoda ověřování	Ověření Kerberos Ověřování Digest Ověřování čistého textu Pokud vyberete ověření čistého (nešifrovaného) textu, bude aktivováno zjednodušené ověření LDAP. Zjednodušené ověření je možné provést s uživatelským atributem (jako je cn nebo uid) místo hodnoty DN.
Požadavky pro ověřování	Chcete-li používat protokol SSL/TLS, server musí podporovat metodu šifrování TLS 1.0/1.1/1.2 nebo SSL 3.0. Protokol TLS 1.0 / SSL 3.0 je ve výchozím nastavení z výroby deaktivován. Chcete-li používat protokol TLS 1.0 / SSL 3.0, aktivujte TLS 1.0 / SSL 3.0 v aplikaci Web Image Monitor. Chcete-li používat ověření Kerberos, zaregistrujte sféru umožňující rozlišit oblast sítě. „Registering the Realm“, User Guide (Full Version) v angličtině Když je aktivováno ověření Kerberos, přenos dat mezi zařízením a serverem KDC (Key Distribution Center) musí být šifrován. Šifrování síťové komunikace Když používáte LDAP, pouze verze 3.0 podporuje ověřování hodnotou hash.

Poznámky ke konfiguraci serveru LDAP pomocí služby Active Directory

Když je ověření Kerberos aktivováno spolu s protokolem SSL/TLS, nelze získat e-mailovou adresu.
K dispozici může být anonymní ověřování. Chcete-li zvýšit zabezpečení, anonymní ověřování deaktivujte.

Upozornění

I když můžete upravovat informace ověřeného uživatele v adresáři zařízení (např. jeho e-mailovou adresu), může při ověřování dojít k jejich přepsání informacemi ze serveru.
V rámci ověření LDAP nemůžete zadávat omezení přístupů pro skupiny zaregistrované na adresářovém serveru.
Při zadávání přihlašovacího uživatelského jména a hesla nepoužívejte dvojbajtové znaky z japonštiny, tradiční čínštiny, zjednodušené čínštiny ani korejštiny. Pokud používáte dvojbajtové znaky, nemůžete provést ověření pomocí aplikace Web Image Monitor.
Při prvním použití zařízení uživatel může používat Dostupné funkce zadané v části [Správa ověření uživatele].
Chcete-li zadat Dostupné funkce pro jednotlivé uživatele, zaregistrujte uživatele a jeho Dostupné funkce v adresáři, nebo zadejte dostupné funkce v automaticky registrovaných informacích uživatele v adresáři.

Instalace webového serveru (IIS) a služby AD CS („Active Directory Certificate Service“)

Nainstalujte požadovanou službu na serveru Windows, aby bylo možno automaticky získávat uživatelské informace registrované ve službě Active Directory.

V nabídce [Start] klikněte na možnost [Správce serveru].

V nabídce [Spravovat] klikněte na položku [Přidat role a funkce].

Klikněte na [Další].

Zvolte [Instalace na základě rolí nebo na základě funkcí] a poté klikněte na tlačítko [Další].

Vyberte server a pak klikněte na [Další].

Zaškrtněte [Služba AD CS (Active Directory Certificate Service] a [Webový server (IIS)] a poté klikněte na tlačítko [Další].

Zobrazí-li se potvrzující hlášení, klikněte na položku [Přidat funkce].

Zaškrtněte funkce, které chcete instalovat, a poté klikněte na tlačítko [Další].

Přečtěte si informace o obsahu a poté klikněte na tlačítko [Další].

Ujistěte se, zda je zaškrtnuto pole [Certifikační úřad] v oblasti Služby rolí v položce Služba AD CS (Active Directory Certificate Services), a poté klikněte na tlačítko [Další].

Přečtěte si informace o obsahu a poté klikněte na tlačítko [Další].

Pokud používáte Windows Server 2016, pokračujte po přečtení informací o obsahu krokem 12.

Zaškrtněte služby rolí, které chcete instalovat, pod položkou Webový server (IIS), a poté klikněte na tlačítko [Další].

Klikněte na [Instalovat].

Po dokončení instalace klikněte na ikonu oznámení správce serveru a poté klikněte na [Konfigurovat službu AD CS (Active Directory Certificate Service) na cílovém serveru].

Klikněte na [Další].

Klikněte na položku [Certifikační úřad] v oblasti služeb rolí a poté klikněte na tlačítko [Další].

Vyberte položku [CÚ rozlehlé sítě] a poté klikněte na tlačítko [Další].

Vyberte položku [Kořenový CÚ] a poté klikněte na tlačítko [Další].

Vyberte položku [Vytvořit nový privátní klíč] a poté klikněte na položku [Další].

Vyberte poskytovatele kryptografických služeb, délku klíče a algoritmus hash pro vytvoření nového soukromého klíče a poté klikněte na tlačítko [Další].

V nabídce [Běžný název tohoto CÚ:] zadejte název certifikačního úřadu a poté klikněte na tlačítko [Další].

Vyberte dobu platnosti a poté klikněte na tlačítko [Další].

Ponechejte pole [Umístění databáze certifikátů:] a [Umístění protokolu databáze certifikátů:] beze změny a poté klikněte na tlačítko [Další].

Klikněte na možnost [Pokračovat].

Po zobrazení zprávy „Úspěšná konfigurace“ klikněte na tlačítko [Zavřít].

Vytvoření certifikátu serveru

Chcete-li šifrovat uživatelské informace, vytvořte certifikát serveru na serveru Windows. Jako příklad je použit systém Windows Server 2016.

V nabídce [Start] ukažte na položku [Všechny aplikace] a poté klikněte na položku [Správce služby IIS] ve složce [Nástroje pro správu].

V levé sloupci klikněte na položku [Název serveru] a poté dvakrát klikněte na [Certifikát serveru].

V pravém sloupci klikněte na položku [Vytvořit žádost o certifikát...].

Zadejte všechny informace a klikněte na tlačítko [Další].

V položce nabídce [Poskytovatel kryptografických služeb:] vyberte poskytovatele a potom klepněte na položku [Další].

Klikněte na položku [...] a potom zadejte název souboru pro žádost o certifikát.

Zadejte umístění, ve kterém chcete soubor uložit, a potom klikněte na položku [Otevřít].

Klikněte na [Dokončit].