Wyszukaj

Podręcznik użytkownikaIP CW2200

Przygotowywanie serwera do użycia funkcji uwierzytelniania użytkownika

W przypadku, gdy uwierzytelnianie systemu Windows lub uwierzytelnianie LDAP jest używane po raz pierwszy, należy się upewnić, że środowisko serwera spełnia wymagania dotyczące uwierzytelniania użytkowników, oraz skonfigurować wymagane ustawienia.

Korzystanie z uwierzytelniania systemu Windows

Serwer należy przygotować w następujący sposób:

  1. Sprawdź wymagania dotyczące uwierzytelniania systemu Windows.

  2. Zainstaluj na serwerze moduł serwera sieci Web (IIS) oraz Usługi certyfikatów Active Directory.

  3. Utwórz nowy certyfikat serwera.

    Tworzenie certyfikatu nie jest wymagane na potrzeby przesyłania informacji o użytkowniku, które nie są szyfrowane.

Korzystanie z uwierzytelniania LDAP

Sprawdź wymagania dotyczące uwierzytelniania LDAP i skonfiguruj ustawienia zgodnie ze środowiskiem serwera.

Wymagania dotyczące uwierzytelniania serwera na potrzeby uwierzytelniania użytkowników

Autoryzacja Windows

Pozycje

Wyjaśnienie

System operacyjny

Windows Server 2012/2012 R2/2016/2019/2022

Metoda autoryzacji

Obsługiwane są następujące metody uwierzytelniania:

  • Uwierzytelnianie NTLM (NTLMv1/NTLMv2)

  • Autoryzacja Kerberos

Wymagania dotyczące uwierzytelniania

  • Skonfiguruj kontroler domeny w określonej domenie.

  • Aby uzyskać informacje o użytkowniku podczas działania usługi Active Directory, użyj katalogu LDAP. Zalecamy szyfrowanie komunikacji między urządzeniem a serwerem LDAP przy użyciu protokołu SSL/TLS. Serwer musi obsługiwać metodę szyfrowania TLS 1.0/1.1/1.2 lub SSL 3.0. W pierwszej kolejności zarejestruj certyfikat serwera kontrolera domeny.

    Tworzenie certyfikatu serwera

  • Szyfrowanie TLS 1.0/SSL 3.0 jest domyślnie wyłączone fabrycznie. Aby użyć szyfrowania TLS 1.0/SSL 3.0, aktywuj TLS 1.0/SSL 3.0 w programie Web Image Monitor.

  • Transmisja danych pomiędzy urządzeniem a serwerem KDC (Key Distribution Center) musi być szyfrowana, jeśli zostało włączone uwierzytelnianie Kerberos.

    Szyfrowanie komunikacji sieciowej

Uwaga

  • Serwer może uwierzytelniać użytkowników zarządzanych w innych domenach, ale nie może uzyskiwać informacji, takich jak nazwa użytkownika.

  • Przy włączonym uwierzytelnianiu Kerberos oraz szyfrowaniu SSL/TLS nie można uzyskać nazwy użytkownika.

  • Dane uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.

  • Jeżeli w kontrolerze domeny został utworzony nowy użytkownik i przy konfiguracji hasła zaznaczona została opcja konieczności zmiany hasła przy następnym logowaniu, należy najpierw zalogować się do komputera i zmienić hasło.

  • Jeśli na serwerze Windows zostało włączone konto Gość, może nastąpić uwierzytelnianie także użytkowników niezarejestrowanych w kontrolerze domeny. Jeśli konto to jest włączone, użytkownicy rejestrowani są w Książce adresowej i mogą korzystać z funkcji dostępnych w ramach opcji [*Domyślna grupa].

Autoryzacja LDAP

Pozycje

Objaśnienia

Używana wersja

LDAP 2.0/3.0

Metoda autoryzacji

  • Autoryzacja Kerberos

  • Uwierzytelnianie digest

  • Uwierzytelnianie Cleartext

W przypadku wybrania uwierzytelniania Cleartext zostanie włączone uproszczone uwierzytelnianie LDAP. Uproszczone uwierzytelnianie może być wykonywane przy użyciu atrybutu użytkownika (np. cn lub uid) zamiast DN.

Wymagania dotyczące uwierzytelniania

  • Aby skorzystać ze standardu SSL/TLS, serwer musi obsługiwać metodę szyfrowania TLS 1.0/1.1/1.2 lub SSL 3.0.

  • Szyfrowanie TLS 1.0/SSL 3.0 jest domyślnie wyłączone fabrycznie. Aby użyć szyfrowania TLS 1.0/SSL 3.0, aktywuj TLS 1.0/SSL 3.0 w programie Web Image Monitor.

  • Aby użyć uwierzytelniania Kerberos, zarejestruj dziedzinę w celu wyróżnienia obszaru sieci.

    "Registering the Realm", User Guide (Full Version) w języku angielskim

  • Transmisja danych pomiędzy urządzeniem a serwerem KDC (Key Distribution Center) musi być szyfrowana, jeśli zostało włączone uwierzytelnianie Kerberos.

    Szyfrowanie komunikacji sieciowej

  • W przypadku korzystania z LDAP tylko wersja 3.0 umożliwia stosowanie uwierzytelniania Digest.

Uwagi dotyczące skonfigurowania serwera LDAP przy użyciu usługi Active Directory

  • Przy włączonym uwierzytelnianiu Kerberos oraz szyfrowaniu SSL/TLS nie można uzyskać nazwy użytkownika.

  • Uwierzytelnianie anonimowe może być dostępne. W celu zwiększenia bezpieczeństwa należy wyłączyć uwierzytelnianie anonimowe.

Uwaga

  • Dane uwierzytelnionego użytkownika zmodyfikowane w książce adresowej urządzenia mogą zostać nadpisane informacjami z serwera podczas wykonywania uwierzytelniania.

  • Przy uwierzytelnianiu LDAP nie można określić ograniczeń dostępu dla grup zarejestrowanych na serwerze.

  • Wpisując nazwę logowania użytkownika i hasło nie należy używać dwubajtowych znaków języka japońskiego, chińskiego tradycyjnego, chińskiego uproszczonego lub koreańskiego (Hangul). Jeżeli w haśle lub nazwie użytkownika użyte zostaną znaki dwubajtowe, nie można przeprowadzać autoryzacji za pomocą programu Web Image Monitor.

  • Podczas pierwszego użycia urządzenia użytkownik może korzystać z opcji Dostępne funkcje określonych w obszarze [Zarządzanie autoryzacją użytkownika].

  • Aby określić opcje Dostępne funkcje dla poszczególnych użytkowników, należy ich zarejestrować wraz ustawieniami Dostępne funkcje w Książce adresowej lub określić Dostępne funkcje dla użytkowników rejestrowanych automatycznie w książce adresowej.

Instalowanie Serwera sieci Web (IIS) oraz „Usług certyfikatów Active Directory”

Zainstalowanie wymaganej usługi na serwerze systemu Windows pozwala automatycznie uzyskiwać informacje o użytkownikach zarejestrowanych w usłudze Active Directory.

1W menu [Start] kliknij opcję [Menedżer serwera].

2W menu [Zarządzaj] kliknij polecenie [Dodaj role i funkcje].

3Kliknij przycisk [Dalej].

4Wybierz opcję [Instalacja oparta na rolach lub oparta na funkcjach] i kliknij przycisk [Dalej].

5Wybierz serwer, a następnie kliknij przycisk [Dalej].

6Zaznacz pola wyboru [Usługi certyfikatów Active Directory] i [Serwer sieci Web (IIS)], a następnie kliknij przycisk [Dalej].

Gdy pojawi się komunikat potwierdzający, kliknij przycisk [Dodaj funkcje].

7Zaznacz funkcje, które chcesz zainstalować, i kliknij przycisk [Dalej].

8Przeczytaj informacje, a następnie kliknij przycisk [Dalej].

9Upewnij się, że w oknie [Usługi certyfikatów Active Directory] w obszarze [Usługi ról] jest zaznaczone pole [Urząd certyfikacji], i kliknij przycisk [Dalej].

10Przeczytaj informacje, a następnie kliknij przycisk [Dalej].

W przypadku korzystania z systemu Windows Server 2016 przejdź do kroku 12 po zapoznaniu się z informacjami.

11Zaznacz usługi ról, które chcesz zainstalować obszarze [Serwer sieci Web (IIS)], i kliknij przycisk [Dalej].

12Kliknij na [Instaluj].

13Po zakończeniu instalacji kliknij ikonę powiadomień menedżera serwera, a następnie opcję [Konfiguruj usługi certyfikatów Active Directory na serwerze docelowym].

14Kliknij przycisk [Dalej].

15Kliknij opcję [Urząd certyfikacji] w obszarze usługi roli i kliknij przycisk [Dalej].

16Wybierz opcję [Urząd certyfikacji przedsiębiorstwa] i kliknij przycisk [Dalej].

17Wybierz opcję [Główny urząd certyfikacji], a następnie kliknij przycisk [Dalej].

18Wybierz opcję [Utwórz nowy klucz prywatny], a następnie kliknij przycisk [Dalej].

19Wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu, które zostaną użyte do utworzenia nowego klucza prywatnego, a następnie kliknij przycisk [Dalej].

20W polu [Nazwa ogólna tego urzędu certyfikacji:] podaj nazwę urzędu certyfikacji, a następnie kliknij przycisk [Dalej].

21Wybierz okres ważności, a następnie kliknij przycisk [Dalej].

22Pozostaw opcje [Lokalizacja bazy danych certyfikatów:] i [Lokalizacja dziennika bazy danych certyfikatów:] bez zmian, a następnie kliknij przycisk [Dalej].

23Kliknij przycisk [Konfiguruj].

24Po wyświetleniu komunikatu „Konfigurowanie powiodło się” kliknij przycisk [Zamknij].

Tworzenie certyfikatu serwera

Aby szyfrować informacje dotyczące użytkowników, utwórz certyfikat serwera na serwerze Windows. Na potrzeby przykładu użyto systemu Windows Server 2016.

1W menu [Start] kliknij kolejno opcję [Wszystkie aplikacje] i [Menedżer usług Internet Information Services (IIS)] w [Narzędzia administracyjne].

2W lewej kolumnie kliknij opcję [Nazwa serwera], a następnie kliknij dwukrotnie pozycję [Certyfikat serwera].

3W prawej kolumnie kliknij polecenie [Utwórz żądanie certyfikatu...].

4Wprowadź wszystkie informacje, a następnie kliknij przycisk [Dalej].

5W polu [Dostawca usług kryptograficznych:] wybierz dostawcę, a następnie kliknij przycisk [Dalej].

6Kliknij przycisk [...], a następnie podaj nazwę pliku żądania certyfikatu.

7Wybierz miejsce, gdzie plik ma zostać zapisany, a następnie kliknij przycisk [Otwórz].

8Kliknij [Koniec].