Αναζήτηση

Οδηγός ΧρήστηPro C5300S/C5310

Προετοιμασία του διακομιστή προς χρήση για πιστοποίηση χρήστη

Κατά τη χρήση της πιστοποίησης Windows ή της πιστοποίησης LDAP ως μεθόδου πιστοποίησης χρήστη για πρώτη φορά, βεβαιωθείτε ότι το περιβάλλον του διακομιστή σας πληροί τις απαιτήσεις για πιστοποίηση χρήστη και διαμορφώστε τις απαιτούμενες ρυθμίσεις.

Για τη χρήση της πιστοποίησης Windows

Προετοιμάστε τον διακομιστή ως εξής:

  1. Ελέγξτε τις απαιτήσεις της πιστοποίησης Windows.

  2. Εγκαταστήστε τον διακομιστή Web (IIS) και την Υπηρεσία Πιστοποιητικού Active Directory στον διακομιστή.

  3. Δημιουργήστε ένα πιστοποιητικό διακομιστή.

    Για τη μετάδοση πληροφοριών χρήστη που δεν είναι κρυπτογραφημένες, δεν χρειάζεται να δημιουργήσετε πιστοποιητικό διακομιστή.

Για τη χρήση της πιστοποίησης LDAP

Ελέγξτε τις απαιτήσεις της πιστοποίησης LDAP και διαμορφώστε τις ρυθμίσεις σύμφωνα με το περιβάλλον του διακομιστή, ανάλογα με τις ανάγκες.

Απαιτήσεις πιστοποίησης διακομιστή που χρησιμοποιούνται για πιστοποίηση χρήστη

Πιστοποίηση Windows

Στοιχεία

Επεξήγηση

Λειτουργικό σύστημα που μπορεί να χρησιμοποιηθεί

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Για να χρησιμοποιήσετε την Πιστοποίηση Kerberos σε Windows Server 2008, εγκαταστήστε το Service Pack 2 ή νεότερη έκδοση.

Μέθοδος πιστοποίησης

Υποστηρίζει τις ακόλουθες μεθόδους πιστοποίησης:

  • Πιστοποίηση NTLM (NTLMv1/NTLMv2)

  • Πιστοποίηση Kerberos

Για τον ορισμό της πιστοποίησης Kerberos, ο διακομιστής που πιστοποιεί τους χρήστες πρέπει να υποστηρίζει την πιστοποίηση Kerberos. Αν ο διακομιστής δεν την υποστηρίζει, επιλέγεται αυτόματα η πιστοποίηση NTLM.

Απαιτήσεις για πιστοποίηση

  • Ρυθμίστε έναν ελεγκτή τομέα στον τομέα που ορίζετε.

  • Για τη λήψη πληροφοριών σχετικά με το χρήστη όταν εκτελείται το Active Directory, χρησιμοποιήστε LDAP. Η επικοινωνία μεταξύ του μηχανήματος και του διακομιστή LDAP συνιστάται να κρυπτογραφείται με χρήση του SSL/TLS. Ο διακομιστής πρέπει να υποστηρίζει τη μέθοδο κρυπτογράφησης TLS 1.0/1.1/1.2 ή SSL 3.0. Καταχωρήστε το πιστοποιητικό διακομιστή του ελεγκτή τομέα εκ των προτέρων.

    Δημιουργία πιστοποιητικού διακομιστή

  • Το TLS 1.0/SSL 3.0 είναι απενεργοποιημένο στην εργοστασιακά προεπιλεγμένη ρύθμιση. Για να χρησιμοποιήσετε το TLS 1.0/SSL 3.0, ορίστε το στοιχείο TLS 1.0/SSL 3.0 ως Ενεργοποιημένο στο Web Image Monitor.

  • Αν έχει ενεργοποιηθεί η πιστοποίηση Kerberos, η μετάδοση δεδομένων μεταξύ του μηχανήματος και του διακομιστή KDC (Κέντρο διανομής κλειδιού) πρέπει να είναι κρυπτογραφημένη.

    Κρυπτογράφηση επικοινωνίας δικτύου

Σημείωση

  • Ο διακομιστής μπορεί να πιστοποιεί χρήστες που υφίστανται διαχείριση σε άλλους τομείς, αλλά δεν μπορεί να εξασφαλίζει πληροφορίες όπως διεύθυνση e-mail.

  • Όταν είναι ενεργοποιημένη η πιστοποίηση Kerberos, η διεύθυνση e-mail δεν μπορεί να εξασφαλιστεί αν οριστεί το SSL/TLS.

  • Ακόμη κι αν επεξεργαστείτε τις πληροφορίες ενός πιστοποιημένου χρήστη, όπως μια διεύθυνση e-mail, στο Βιβλίο Διευθύνσεων του μηχανήματος, αυτές ενδέχεται να αντικατασταθούν από τις πληροφορίες από τον διακομιστή όταν πραγματοποιηθεί η πιστοποίηση.

  • Αν έχετε δημιουργήσει έναν νέο χρήστη στον ελεγκτή τομέα και στη διαμόρφωση κωδικού πρόσβασης έχετε επιλέξει "Ο χρήστης πρέπει να αλλάξει κωδικό κατά την επόμενη σύνδεση", συνδεθείτε πρώτα στον υπολογιστή και αλλάξτε τον κωδικό.

  • Αν είναι ενεργοποιημένος ο λογαριασμός επισκέπτη Guest στον διακομιστή Windows, οι χρήστες που δεν είναι καταχωρισμένοι στον ελεγκτή domain μπορούν να πιστοποιούνται. Όταν αυτός ο λογαριασμός είναι ενεργοποιημένος, οι χρήστες καταχωρίζονται στο Βιβλίο Διευθύνσεων και μπορούν να χρησιμοποιούν τις λειτουργίες που διατίθενται στην [*Προεπιλεγμένη Ομάδα].

Πιστοποίηση LDAP

Στοιχεία

Επεξηγήσεις

Έκδοση που μπορεί να χρησιμοποιηθεί

LDAP έκδοση 2.0/3.0

Μέθοδος πιστοποίησης

  • Πιστοποίηση Kerberos

  • Πιστοποίηση Digest

  • Πιστοποίηση χωρίς κρυπτογράφηση (Cleartext)

Όταν επιλέγετε πιστοποίηση χωρίς κρυπτογράφηση (Cleartext), ενεργοποιείται η απλοποιημένη πιστοποίηση LDAP. Η απλοποιημένη πιστοποίηση μπορεί να εκτελεστεί με ένα χαρακτηριστικό χρήστη (όπως cn ή uid) αντί του DN.

Απαιτήσεις για πιστοποίηση

  • Για τη χρήση SSL/TLS, ο διακομιστής πρέπει να υποστηρίζει τη μέθοδο κρυπτογράφησης TLS 1.0/1.1/1.2 ή SSL 3.0.

  • Το TLS 1.0/SSL 3.0 είναι απενεργοποιημένο στην εργοστασιακά προεπιλεγμένη ρύθμιση. Για να χρησιμοποιήσετε το TLS 1.0/SSL 3.0, ορίστε το στοιχείο TLS 1.0/SSL 3.0 ως Ενεργοποιημένο στο Web Image Monitor.

  • Για χρήση πιστοποίησης Kerberos, καταχωρίστε τον ασφαλή τομέα για να ξεχωρίσετε την περιοχή δικτύου.

    Οδηγός Χρήστη, στα αγγλικά

  • Αν έχει ενεργοποιηθεί η πιστοποίηση Kerberos, η μετάδοση δεδομένων μεταξύ του μηχανήματος και του διακομιστή KDC (Κέντρο διανομής κλειδιού) πρέπει να είναι κρυπτογραφημένη.

    Κρυπτογράφηση επικοινωνίας δικτύου

  • Όταν χρησιμοποιείτε το LDAP, μόνο η έκδοση 3.0 μπορεί να χρησιμοποιήσει την πιστοποίηση Digest.

Σημειώσεις όταν ο διακομιστής LDAP έχει διαμορφωθεί με χρήση του Active Directory

  • Όταν η πιστοποίηση Kerberos ενεργοποιηθεί μαζί με το SSL/TLS, δεν είναι δυνατή η εξασφάλιση της διεύθυνσης e-mail.

  • Ενδέχεται να είναι διαθέσιμη η ανώνυμη πιστοποίηση. Για βελτίωση της ασφάλειας, ρυθμίστε την ανώνυμη πιστοποίηση ως Απενεργοποιημένη.

Σημείωση

  • Ακόμη κι αν επεξεργαστείτε τις πληροφορίες ενός πιστοποιημένου χρήστη, όπως μια διεύθυνση e-mail, στο Βιβλίο Διευθύνσεων του μηχανήματος, αυτές ενδέχεται να αντικατασταθούν από τις πληροφορίες από τον διακομιστή όταν πραγματοποιηθεί η πιστοποίηση.

  • Στο πλαίσιο της πιστοποίησης LDAP, δεν μπορείτε να ορίσετε όρια πρόσβασης για ομάδες που έχουν καταχωρηθεί στον διακομιστή.

  • Μην χρησιμοποιείτε χαρακτήρες Ιαπωνικών, Παραδοσιακών Κινέζικων, Απλοποιημένων Κινέζικων ή Χανγκίλ (των δύο byte) όταν εισάγετε το όνομα χρήστη ή τον κωδικό σύνδεσης. Εάν χρησιμοποιείτε χαρακτήρες δύο byte, δεν είναι δυνατή η πιστοποπιηση μέσω του Web Image Monitor.

  • Κατά τη χρήση του μηχανήματος για πρώτη φορά, ο χρήστης μπορεί να χρησιμοποιήσει την επιλογή Διαθέσιμες Λειτουργίες που ορίζεται στο στοιχείο [Διαχείρ. Πιστοπ. Χρηστών].

  • Για να ορίσετε την επιλογή Διαθέσιμες Λειτουργίες για κάθε χρήστη, καταχωρίστε τον χρήστη μαζί με το στοιχείο Διαθέσιμες Λειτουργίες στο Βιβλίο Διευθύνσεων ή ορίστε τις Διαθέσιμες Λειτουργίες στον χρήστη που καταχωρίστηκε αυτόματα στο Βιβλίο Διευθύνσεων.

Εγκατάσταση του διακομιστή ιστού (IIS) και της "Υπηρεσίας πιστοποίησης Active Directory"

Εγκαταστήστε την απαιτούμενη υπηρεσία στον διακομιστή Windows, για να εξασφαλίσετε πληροφορίες χρήστη που καταχωρούνται αυτόματα στο Active Directory.

Windows Server 2012/2016/2019

1Στο μενού [Έναρξη], πατήστε [Διαχείριση διακομιστή].

2Στο μενού [Διαχείριση] κάντε κλικ στο [Προσθήκη ρόλων και χαρακτηριστικών].

3Κάντε κλικ στο [Επόμενο].

4Επιλέξτε [Εγκατάσταση βάσει ρόλων ή βάσει δυνατοτήτων] και, κατόπιν, κάντε κλικ στο [Επόμενο].

5Επιλέξτε έναν διακομιστή και κατόπιν κάντε κλικ στο [Επόμενο].

6Ενεργοποιήστε τα πλαίσια ελέγχου [Υπηρεσία πιστοποίησης Active Directory] και [Διακομιστής ιστού (IIS)] και, κατόπιν, κάντε κλικ στο [Επόμενο].

Εάν εμφανιστεί μήνυμα επιβεβαίωσης, κάντε κλικ στο [Προσθήκη Δυνατοτήτων].

7Επιλέξτε τις δυνατότητες προς εγκατάσταση και, κατόπιν, κάντε κλικ στο [Επόμενο].

8Διαβάστε τις πληροφορίες περιεχομένου και, κατόπιν, κάντε κλικ στο [Επόμενο].

9Βεβαιωθείτε ότι το στοιχείο [Αρχή έκδοσης πιστοποιητικών] έχει επιλεγεί στην περιοχή υπηρεσιών ρόλων των υπηρεσιών πιστοποίησης Active Directory και, κατόπιν, κάντε κλικ στο [Επόμενο].

10Διαβάστε τις πληροφορίες περιεχομένου και, κατόπιν, κάντε κλικ στο [Επόμενο].

Κατά τη χρήση του Windows Server 2016, προχωρήστε στο Βήμα 12 αφού διαβάσετε τις πληροφορίες του περιεχομένου.

11Επιλέξτε τις υπηρεσίες ρόλων προς εγκατάσταση στον διακομιστή ιστού (IIS) και, κατόπιν, κάντε κλικ στο [Επόμενο].

12Κάντε κλικ στην [Εγκατάσταση].

13Μετά την ολοκλήρωση της εγκατάστασης, κάντε κλικ στο εικονίδιο ειδοποίησης της διαχείρισης διακομιστή και, κατόπιν, κάντε κλικ στην επιλογή [Διαμόρφωση υπηρεσίας πιστοποίησης Active Directory στον διακομιστή προορισμού].

14Κάντε κλικ στο [Επόμενο].

15Ενεργοποιήστε την επιλογή [Αρχή έκδοσης πιστοποιητικών] στην υπηρεσία ρόλων και, κατόπιν, κάντε κλικ στο [Επόμενο].

16Επιλέξτε [Αρχή έκδ. πιστοπ. εταιρείας] και, κατόπιν, κάντε κλικ στο [Επόμενο].

17Επιλέξτε [Αρχή έκδ. πιστοπ. ρίζας] και, κατόπιν, κάντε κλικ στο [Επόμενο].

18Επιλέξτε [Δημιουργία νέου ιδιωτικού κλειδιού] και, κατόπιν, κάντε κλικ στο [Επόμενο].

19Επιλέξτε πάροχο κρυπτογράφησης, μήκος κλειδιού και αλγόριθμο κατακερματισμού για τη δημιουργία ενός νέου ιδιωτικού κλειδιού και, κατόπιν, κάντε κλικ στο [Επόμενο].

20Στο [Κοινό όνομα για αυτήν την Αρχή Πιστοποιητικών:], εισάγετε το όνομα της Αρχής Πιστοποιητικών και κάντε κλικ στο [Επόμενο].

21Επιλέξτε την περίοδο ισχύος και, κατόπιν, κάντε κλικ στο [Επόμενο].

22Αφήστε αμετάβλητες τις επιλογές [Τοποθεσία βάσης δεδομένων πιστοποιητικών:] και [Τοποθεσία αρχείου καταγραφής βάσης δεδομένων πιστοποιητικών:] και κατόπιν κάντε κλικ στο [Επόμενο].

23Πατήστε [Ρύθμιση Παραμέτρων].

24Όταν εμφανιστεί το μήνυμα "Ρύθμιση παραμέτρων επιτυχής", κάντε κλικ στο [Κλείσιμο].

Windows Server 2008 R2

1Στο μενού [Έναρξη], επιλέξτε [Εργαλεία Διαχείρισης] και κατόπιν εκκινήστε τη διαχείριση διακομιστή.

2Κάντε κλικ στο [Ρόλοι] στην αριστερή στήλη, κάντε κλικ στη [Προσθήκη Ρόλων] από το μενού [Ενέργεια].

3Κάντε κλικ στο [Επόμενο].

4Ενεργοποιήστε τα πλαίσια ελέγχου [Διακομιστής Web (IIS)] και [Υπηρεσίες Πιστοποιητικών Active Directory] και κατόπιν κάντε κλικ στο [Επόμενο].

Εάν εμφανιστεί μήνυμα επιβεβαίωσης, κάντε κλικ στο [Προσθήκη Δυνατοτήτων].

5Διαβάστε τις πληροφορίες περιεχομένου και, κατόπιν, κάντε κλικ στο [Επόμενο].

6Ενεργοποιήστε την επιλογή [Αρχή Πιστοποιητικών] και κατόπιν κάντε κλικ στο [Επόμενο].

7Επιλέξτε [Επιχείρηση] και κατόπιν κάντε κλικ στο [Επόμενο].

8Επιλέξτε [Αρχή έκδ. πιστοπ. ρίζας] και, κατόπιν, κάντε κλικ στο [Επόμενο].

9Επιλέξτε [Δημιουργία νέου ιδιωτικού κλειδιού] και, κατόπιν, κάντε κλικ στο [Επόμενο].

10Επιλέξτε πάροχο υπηρεσίας κρυπτογράφησης, μήκος κλειδιού και αλγόριθμο κατακερματισμού για τη δημιουργία ενός νέου ιδιωτικού κλειδιού και, κατόπιν, κάντε κλικ στο [Επόμενο].

11Στο [Κοινό όνομα για αυτήν την Αρχή Πιστοποιητικών:], εισάγετε το όνομα της Αρχής Πιστοποιητικών και κάντε κλικ στο [Επόμενο].

12Επιλέξτε την περίοδο ισχύος και, κατόπιν, κάντε κλικ στο [Επόμενο].

13Αφήστε αμετάβλητες τις επιλογές [Τοποθεσία βάσης δεδομένων πιστοποιητικών:] και [Τοποθεσία αρχείου καταγραφής βάσης δεδομένων πιστοποιητικών:] και κατόπιν κάντε κλικ στο [Επόμενο].

14Διαβάστε τις σημειώσεις και, κατόπιν, κάντε κλικ στο [Επόμενο].

15Επιλέξτε τις υπηρεσίες ρόλων προς εγκατάσταση και, κατόπιν, κάντε κλικ στο [Επόμενο].

16Κάντε κλικ στην [Εγκατάσταση].

Ξεκινάει η εγκατάσταση των πρόσθετων δυνατοτήτων.

Δημιουργία πιστοποιητικού διακομιστή

Για την κρυπτογράφηση των πληροφοριών χρήστη, δημιουργήστε ένα πιστοποιητικό διακομιστή στον διακομιστή Windows. Ως παράδειγμα χρησιμοποιείται το Windows Server 2016.

1Στο μενού [Έναρξη], δείξτε στο στοιχείο [Όλες οι εφαρμογές] και κατόπιν κάντε κλικ στην επιλογή [Διαχείριση Internet Information Services (IIS)] του στοιχείου [Εργαλεία διαχείρισης].

2Στην αριστερή στήλη, κάντε κλικ στην επιλογή [Όνομα διακομιστή] και, κατόπιν, κάντε διπλό κλικ στη ρύθμιση [Πιστοποιητικό διακομιστή].

3Στη δεξιά στήλη κάντε κλικ στο [Δημιουργία Αίτησης Πιστοποιητικού...].

4Εισαγάγετε όλες τις πληροφορίες και κάντε κλικ στο [Επόμενο].

5Στο στοιχείο [Πάροχος κρυπτογραφικής υπηρεσίας:] επιλέξτε έναν πάροχο και κατόπιν κάντε κλικ στο [Επόμενο].

6Κάντε κλικ στο [...] και κατόπιν ορίστε ένα όνομα αρχείου για την αίτηση πιστοποιητικού.

7Ορίστε τοποθεσία για την αποθήκευση του αρχείου και κατόπιν κάντε κλικ στο [Άνοιγμα].

8Κάντε κλικ στο [Τέλος].