Cerca

Guida per l'utenteIM CW2200

Preparazione del server da utilizzare per l'autenticazione utente

Quando si utilizza l'autenticazione Windows o l'autenticazione LDAP come metodo di autenticazione utente per la prima volta, verificare che l'ambiente del server soddisfi i requisiti per l'autenticazione utente e configurare le impostazioni richieste.

Per utilizzare l'autenticazione Windows

Preparare il server come segue:

  1. Verificare i requisiti dell'autenticazione Windows.

  2. Installare il server Web (IIS) e il Servizio certificati Active Directory nel server.

  3. Creare un certificato di server.

    Non è necessario creare un certificato server per trasmettere informazioni utente non crittografate.

Per utilizzare l'autenticazione LDAP

Verificare i requisiti dell'autenticazione LDAP e configurare le impostazioni a seconda dell'ambiente del server secondo necessità.

Requisiti dell'autenticazione server utilizzata per l'autenticazione utente

Autenticazione Windows

Opzioni

Spiegazione

Sistema operativo utilizzabile

Windows Server 2012/2012 R2/2016/2019

Metodo di autenticazione

Supporta i seguenti metodi di autenticazione:

  • Autenticazione NTLM (NTLMv1/NTLMv2)

  • Autenticazione Kerberos

Requisiti per l'autenticazione

  • Impostare un controller di dominio nel dominio specificato.

  • Per ottenere le informazioni sull'utente quando Active Directory è in funzionamento, utilizzare LDAP. Si consiglia di crittografare le comunicazioni tra la macchina e il server LDAP utilizzando SSL/TLS. Il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0. Registrare in anticipo il certificato del server del controller di dominio.

    Creazione di un certificato del server

  • TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor.

  • Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati.

    Crittografia della comunicazione di rete

Nota

  • Il server può autenticare gli utenti gestiti in altri domini, ma non può ottenere informazioni come un indirizzo e-mail.

  • Quando l'autenticazione Kerberos è abilitata insieme a SSL/TLS, non è possibile ottenere l'indirizzo e-mail.

  • Anche se vengono modificate le informazioni di un utente autenticato, ad esempio un indirizzo e-mail, nella rubrica della macchina, potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.

  • Se è stato creato un nuovo utente nel controller di dominio e durante la configurazione password è stato selezionato "L'utente deve cambiare password al prossimo accesso", effettuare l'accesso al computer e poi cambiare password.

  • Se è abilitato l'account Guest nel server di Windows, si possono autenticare utenti non registrati nel controller di dominio. Quando questo account è abilitato, gli utenti sono registrati nella Rubrica e possono utilizzare le funzioni disponibili in [* Gruppo predefinito].

Autenticazione LDAP

Opzioni

Spiegazioni

Versione utilizzabile

Versione LDAP 2.0/3.0

Metodo di autenticazione

  • Autenticazione Kerberos

  • Autenticazione digest

  • Autenticazione Cleartext

Se si seleziona l'autenticazione Cleartext, viene abilitata l'autenticazione LDAP semplificata. L'autenticazione semplificata può essere eseguita con un attributo utente (quale cn o uid) al posto del DN.

Requisiti per l'autenticazione

  • Per utilizzare SSL/TLS, il server deve supportare il metodo di crittografia TLS 1.0/1.1/1.2 o SSL 3.0.

  • TLS 1.0/SSL 3.0 è disabilitato nelle impostazioni predefinite di fabbrica. Per utilizzare TLS 1.0/SSL 3.0, specifare TLS 1.0/SSL 3.0 su Abilita in Web Image Monitor.

  • Per utilizzare l'autenticazione Kerberos, registrare il dominio per distinguere l'area di rete.

    Registrare il realm

  • Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC (Key Distribution Center) e viceversa devono essere crittografati.

    Crittografia della comunicazione di rete

  • Quando si utilizza LDAP, solo la versione 3.0 può utilizzare l'autenticazione digest.

Note quando il server LDAP è configurato utilizzando Active Directory

  • Quando l'autenticazione Kerberos è abilitata insieme a SSL/TLS, non è possibile ottenere l'indirizzo e-mail.

  • Potrebbe essere disponibile l'autenticazione anonima. Per migliorare la sicurezza, impostare l'autenticazione anonima su Disabilita.

Nota

  • Anche se vengono modificate le informazioni di un utente autenticato, ad esempio un indirizzo e-mail, nella rubrica della macchina, potrebbero essere sovrascritte dalle informazioni dal server quando viene eseguita l'autenticazione.

  • Nell'autenticazione LDAP non è possibile specificare i limiti di accesso per gruppi registrati nel server.

  • Non utilizzare un nome utente o una password che contengono caratteri a doppio byte giapponesi, cinesi (tradizionale e semplificato) o hangul. Se si utilizzano caratteri a byte multiplo per il nome utente o la password, non potrà essere eseguita l'autenticazione tramite Web Image Monitor.

  • Quando si utilizza la macchina per la prima volta, l'utente può utilizzare Funzioni disponibili specificate in [Gestione autenticazione utente].

  • Per specificare Funzioni disponibili per ciascun utente, registrare l'utente con Funzioni disponibili nella rubrica o specificare le funzioni disponibili nell'utente registrato automaticamente nella rubrica.

Installazione del server Web (IIS) e del "Servizio certificati Active Directory"

Installare il servizio richiesto nel server Windows per ottenere automaticamente le informazioni utente registrate in Active Directory.

1Nel menu [Avvio], selezionare [Server Manager].

2Nel menu [Gestione], fare clic su [Aggiungi ruoli e funzionalità].

3Fare clic su [Successivo].

4Selezionare [Installazione basata su ruoli o basata su funzionalità], quindi fare clic su [Avanti].

5Selezionare un server, quindi fare clic su [Avanti].

6Selezionare le caselle di controllo [Active Directory Certificate Service] e [Web Server (IIS)], quindi fare clic su [Avanti].

Se appare un messaggio di conferma, fare clic su [Aggiungi funzionalità].

7Verificare quali funzioni installare, quindi fare clic su [Avanti].

8Leggere le informazioni sul contenuto e fare clic su [Avanti].

9Verificare che [Autorità di certificazione] sia selezionato nell'area [Servizi ruolo] in [Servizi certificati Active Directory], quindi fare clic su [Avanti].

10Leggere le informazioni sul contenuto e fare clic su [Avanti].

Quando si utilizza Windows Server 2016, passare al Punto 12 dopo aver letto le informazioni sul contenuto.

11Verificare quali servizi di ruolo si desidera installare sotto Web Server (IIS), quindi fare clic su [Avanti].

12Fare clic su [Installa].

13Dopo il completamento dell'installazione, fare clic sull'icona di notifica del server manager, quindi fare clic su [Configurare Servizio certificati Active Directory nel server di destinazione].

14Fare clic su [Successivo].

15Verificare [Autorità di certificazione] in Servizi ruolo, quindi fare clic su [Avanti>].

16Selezionare [CA (Enterprise)], quindi fare clic su [Avanti].

17Selezionare [CA radice] e fare clic su [Avanti].

18Selezionare [Crea una nuova chiave privata], quindi fare clic su [Avanti].

19Selezionare un fornitore di servizi crittografici, lunghezza chiave e algoritmo hash per creare una chiave privata, quindi fare clic su [Avanti].

20In [Nome comune per la CA:], inserire il nome dell'autorità del certificato e fare clic su [Avanti].

21Selezionare il periodo di validità, e fare clic su [Avanti].

22Lasciare [Percorso database certificato:] e [Percorso registro database certificato:] senza modifiche, quindi fare clic su [Avanti].

23Fare clic su [Configura].

24Quando compare il messaggio "Configurazione riuscita", fare clic su [Chiudi].

Creazione di un certificato del server

Per crittografare le informazioni utente, creare un certificato server nel server Windows. Windows Server 2016 viene utilizzato come esempio.

1Dal menu [Start], puntare su [Tutte le applicazioni] e fare clic su [Gestione Internet Information Service (IIS)] di [Strumenti amministrativi].

2Nella colonna di sinistra, fare clic su [Nome server], quindi fare doppio clic su [Certificato server].

3Nella colonna a destra, fare clic su [Crea richiesta di certificato...].

4Inserire tutte le informazioni necessarie e fare clic su [Avanti].

5In [Provider del servizio di crittografia:], selezionare un provider e fare clic su [Avanti].

6Fare clic su [...] e specificare un nome di file per la richiesta di certificato.

7Specificare una posizione in cui memorizzare il file, quindi fare clic su [Apri].

8Fare clic su [Fine].