การเตรียมเซิร์ฟเวอร์เพื่อใช้สำหรับการยืนยันตัวตนผู้ใช้

เมื่อใช้การยืนยันตัวตนผ่าน Windows หรือ LDAP เป็นวิธีการยืนยันตัวตนผู้ใช้เป็นครั้งแรก ให้ตรวจสอบว่าเซิร์ฟเวอร์ที่ใช้ตรงตามข้อกำหนดสำหรับการยืนยันตัวตนผู้ใช้หรือไม่ และกำหนดการตั้งค่าที่ต้องการ

วิธีการยืนยันตัวตนผ่าน Windows

เตรียมเซิร์ฟเวอร์ดังต่อไปนี้:

ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน Windows
ติดตั้งเว็บเซิร์ฟเวอร์ (IIS) และ Active Directory Certificate Service ในเซิร์ฟเวอร์
สร้างใบรับรองเซิร์ฟเวอร์
ผู้ใช้ไม่จำเป็นต้องสร้างใบรับรองเซิร์ฟเวอร์เพื่อส่งข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส

วิธีการยืนยันตัวตนผ่าน LDAP

ตรวจสอบข้อกำหนดของการยืนยันตัวตนผ่าน LDAP และกำหนดการตั้งค่าตามเซิร์ฟเวอร์ที่ใช้งาน

ข้อกำหนดของการรับรองความถูกต้องเซิร์ฟเวอร์ที่ใช้สำหรับการยืนยันตัวตนผู้ใช้

Windows authentication
รายการ	คำอธิบาย
OS ที่สามารถใช้งานได้	Windows Server 2012/2012 R2/2016/2019
วิธีการกำหนดสิทธิ์	รองรับวิธีการยืนยันตัวตนต่อไปนี้: การยืนยันตัวตนผ่าน NTLM (NTLMv1/NTLMv2) การยืนยันตัวตนผ่าน Kerberos
ข้อกำหนดสำหรับการยืนยันตัวตน	ตั้งค่าตัวควบคุมโดเมนในโดเมนที่ระบุ หากต้องการรับข้อมูลผู้ใช้ขณะที่ Active Directory กำลังทำงานอยู่ ให้ใช้ LDAP ขอแนะนำให้เข้ารหัสการสื่อสารระหว่างเครื่องและเซิร์ฟเวอร์ LDAP โดยใช้ SSL/TLS เซิร์ฟเวอร์ต้องรองรับวิธีการเข้ารหัส TLS 1.0/1.1/1.2 หรือ SSL 3.0 ลงทะเบียนใบรับรองเซิร์ฟเวอร์ของตัวควบคุมโดเมนล่วงหน้า การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate) TLS 1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน หากต้องการใช้ TLS 1.0/SSL 3.0 ให้ระบุ TLS 1.0/SSL 3.0 เป็นเปิดใช้งานบน Web Image Monitor การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos การเข้ารหัสการสื่อสารผ่านเครือข่าย

หมายเหตุ

เซิร์ฟเวอร์สามารถยืนยันผู้ใช้ที่ถูกจัดการในโดเมนอื่นได้ แต่ไม่สามารถรับข้อมูล เช่น อีเมลแอดเดรส ได้
เมื่อมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos พร้อมกับ SSL/TLS จะไม่สามารถรับอีเมลแอดเดรสได้
แม้ว่าจะแก้ไขข้อมูลของผู้ใช้ที่ผ่านการยืนยัน เช่น อีเมลแอดเดรส ใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน
หากสร้างผู้ใช้รายใหม่ในตัวควบคุมโดเมนและเลือก "User must change password at next logon" ในการกำหนดค่ารหัสผ่าน ควรเข้าสู่ระบบคอมพิวเตอร์และเปลี่ยนรหัสผ่านก่อนใช้งาน
หากบัญชี Guest บนเซิร์ฟเวอร์ Windows มีการเปิดใช้งานอยู่ ผู้ใช้ที่ไม่ได้ลงทะเบียนอยู่ในตัวควบคุมโดเมนจะได้รับการยืนยันตัวตนด้วย เมื่อบัญชีนี้เปิดใช้งานอยู่ ผู้ใช้จะถูกบันทึกใน Address Book และสามารถใช้ฟังก์ชันต่างๆ ที่มีอยู่ใน "[* กลุ่มเริ่มต้น]" ได้

LDAP authentication
รายการ	คำอธิบาย
เวอร์ชันที่สามารถใช้งานได้	LDAP เวอร์ชัน 2.0/3.0
วิธีการกำหนดสิทธิ์	การยืนยันตัวตนผ่าน Kerberos การยืนยันตัวตนผ่าน Digest การยืนยันตัวตนผ่าน Cleartext เมื่อเลือกการยืนยันตัวตนผ่าน Cleartext การยืนยันตัวตนอย่างง่ายผ่าน LDAP จะถูกเปิดใช้งาน การยืนยันตัวตนอย่างง่ายสามารถทำได้โดยใช้แอตทริบิวต์ของผู้ใช้ (เช่น cn หรือ uid) แทนการใช้ DN
ข้อกำหนดสำหรับการยืนยันตัวตน	หากต้องการใช้ SSL/TLS เซิร์ฟเวอร์จะต้องรองรับวิธีการเข้ารหัส TLS 1.0/1.1/1.2 หรือ SSL 3.0 TLS 1.0/SSL 3.0 ถูกปิดใช้งานเป็นค่าตั้งต้นจากโรงงาน หากต้องการใช้ TLS 1.0/SSL 3.0 ให้ระบุ TLS 1.0/SSL 3.0 เป็นเปิดใช้งานบน Web Image Monitor ในการใช้การยืนยันตัวตัน Kerberos ให้ลงทะเบียน Realm เพื่อกำหนดพื้นที่เครือข่าย "Registering the Realm" ใน User Guide (Full Version) ฉบับภาษาอังกฤษ การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC (Key Distribution Center) จะต้องได้รับการเข้ารหัสหากมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos การเข้ารหัสการสื่อสารผ่านเครือข่าย เมื่อใช้ LDAP เฉพาะเวอร์ชัน 3 เท่านั้นที่สามารถใช้การยืนยันตัวตนผ่าน Digest ได้

หมายเหตุกรณีเซิร์ฟเวอร์ LDAP ถูกกำหนดค่าโดยใช้ Active Directory

เมื่อมีการเปิดใช้งานการยืนยันตัวตนผ่าน Kerberos พร้อมกับ SSL/TLS จะไม่สามารถรับอีเมลแอดเดรสได้
อาจสามารถใช้การยืนยันตัวตนแบบไม่ระบุตัวตนได้ หากต้องการปรับปรุงความปลอดภัย ให้ตั้งค่าการยืนยันตัวตนแบบไม่ระบุตัวตนเป็น Disable

หมายเหตุ

แม้ว่าจะแก้ไขข้อมูลของผู้ใช้ที่ผ่านการยืนยัน เช่น อีเมลแอดเดรส ใน Address Book ของเครื่อง แต่ข้อมูลอาจจะถูกเขียนทับโดยข้อมูลจากเซิร์ฟเวอร์เมื่อทำการยืนยันตัวตน
ในระบบยืนยันตัวตนผ่าน LDAP จะไม่สามารถกำหนดขีดจำกัดการเข้าถึงให้กับกลุ่มที่ลงทะเบียนไว้ในเซิร์ฟเวอร์ได้
ห้ามใช้ตัวอักษรแบบสองไบต์ เช่น ญี่ปุ่น จีนดั้งเดิม จีนประยุกต์ หรือตัวอักษรฮันกุลในการป้อนชื่อหรือรัหสผ่านสำหรับล็อกอิน หากคุณใช้ตัวอักษรแบบสองไบต์ คุณจะไม่สามารถยืนยันตัวตนโดยใช้ Web Image Monitor ได้
เมื่อใช้เครื่องเป็นครั้งแรก ผู้ใช้สามารถใช้ ฟังก์ชันที่สามารถใช้งานได้ ที่ระบุใน [การจัดการการตรวจสอบความถูกต้องของผู้ใช้] ได้
ในการระบุ ฟังก์ชันที่สามารถใช้งานได้ สำหรับผู้ใช้แต่ละราย ให้ลงทะเบียนผู้ใช้พร้อมกับ ฟังก์ชันที่สามารถใช้งานได้ ใน Address Book หรือระบุฟังก์ชันที่สามารถใช้งานได้ในผู้ใช้ที่ถูกบันทึกโดยอัตโนมัติใน Address Book

การติดตั้ง Web Server (IIS) และ "Active Directory Certificate Service"

ติดตั้งบริการที่จำเป็นในเซิร์ฟเวอร์ Windows เพื่อรับข้อมูลผู้ใช้ที่ถูกบันทึกใน Active Directory โดยอัตโนมัติ

บนเมนู [Start] คลิก [Server Manager]

บนเมนู [Manage] คลิก [Add Roles and Features]

คลิก [Next]

เลือก [Role-based or feature-based installation] จากนั้นคลิก [Next]

เลือกเซิร์ฟเวอร์ จากนั้นคลิก [Next]

เลือกกล่อง [Active Directory Certificate Service] และ [Web Server (IIS)] จากนั้นคลิก [Next]

หากข้อความยืนยันแสดงขึ้น ให้คลิก [Add Features]

เลือกคุณลักษณะที่ต้องการติดตั้ง จากนั้นคลิก [Next]

อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

ตรวจสอบว่าได้เลือก [Certification Authority] ในพื้นที่ [Role Services] ของ [Active Directory Certificate Services] แล้ว จากนั้นคลิก [Next]

อ่านข้อความที่แสดงขึ้น จากนั้นคลิก [Next]

เมื่อใช้ Windows Server 2016 ให้ไปที่ขั้นตอน 12 หลังจากอ่านข้อความที่แสดงขึ้นแล้ว

เลือกบริการที่ต้องการติดตั้งใน [Web Server (IIS)] จากนั้นคลิก [Next]

คลิก [Install]

หลังจากเสร็จสิ้นการติดตั้งแล้ว ให้คลิกไอคอนแจ้งเตือนของตัวจัดการเซิร์ฟเวอร์ จากนั้นคลิก [Configure Active Directory Certificate Service on the destination server]

คลิก [Next]

ตรวจสอบ [Certification Authority] ใน [Role Services] จากนั้นคลิก [Next]

เลือก [Enterprise CA] จากนั้นคลิก [Next]

เลือก [Root CA] จากนั้นคลิก [Next]

เลือก [Create a new private key] จากนั้นคลิก [Next]

เลือกตัวเข้ารหัสลับ ความยาวคีย์ และอัลกอริทึมการแฮช เพื่อสร้างคีย์ส่วนตัวขึ้นมาใหม่ จากนั้นคลิก [Next]

ใน [Common name for this CA:] ให้ป้อนชื่อผู้ให้บริการออกใบรับรอง (Certificate Authority) จากนั้นคลิก [Next]

เลือกระยะเวลาที่มีผลบังคับใช้ จากนั้นคลิก [Next]

ไม่ต้องเปลี่ยนแปลง [Certificate database location:] และ [Certificate database log location:] จากนั้นคลิก [Next]

คลิก [Configure]

หากข้อความ "Configuration succeeded" แสดงขึ้นมา ให้คลิก [Close]

การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate)

ในการเข้ารหัสข้อมูลผู้ใช้ ให้สร้างใบรับรองเซิร์ฟเวอร์ในเซิร์ฟเวอร์ Windows ขั้นตอนด้านล่างนี้เป็นตัวอย่างของ Windows Server 2016

บนเมนู [Start] ให้ชี้ไปที่ [All Applications] จากนั้นคลิก [Internet Information Service (IIS) Manager] ของ [Administrative Tools]

ทางคอลัมน์ด้านซ้าย ให้คลิก [Server Name] จากนั้นดับเบิลคลิกที่ [Server Certificate]

ในคอลัมน์ด้านขวา คลิก [Create Certificate Request...]

ป้อนข้อมูลทั้งหมด จากนั้นคลิก [Next]

ใน [Cryptographic service provider:] ให้เลือกผู้ให้บริการ จากนั้นคลิก [Next]

คลิก [...] จากนั้นกำหนดชื่อไฟล์สำหรับขอใบรับรอง

กำหนดตำแหน่งที่ต้องการเก็บบันทึกไฟล์ จากนั้นคลิก [Open]

คลิก [Finish]