visable.png

Guide utilisateurIM 2702

Préparer le serveur à utiliser pour l'authentification utilisateur

Lorsque vous utilisez l'authentification Windows ou LDAP pour la première fois en tant que méthode d'authentification utilisateur, vérifiez que votre environnement serveur répond aux exigences de l'authentification utilisateur, et réglez les paramètres nécessaires.

Pour utiliser l'authentification Windows

Préparez le serveur comme suit :

  1. Vérifiez les conditions de l'authentification Windows.

  2. Installez le serveur Web (IIS) et « l'Active Directory Certificate Service » sur le serveur.

  3. Créez un certificat de serveur.

    Il n'est pas nécessaire de créer un certificat de serveur pour transmettre les informations utilisateur non chiffrées.

Pour utiliser l'authentification LDAP

Vérifiez les conditions de l'authentification LDAP et réglez les paramètres selon l'environnement serveur.

Conditions de l'authentification serveur utilisée pour l'authentification utilisateur

Authentification Windows

Éléments

Explication

OS pris en charge

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Pour utiliser l'authentification Kerberos sous Windows Server 2008, installez le Service Pack 2 ou une version ultérieure.

Méthode d'authentification

Prend en charge les méthodes d'authentification suivantes :

  • Authentification NTLM (NTLMv1/NTLMv2)

  • Authentification Kerberos

Pour utiliser l'authentification Kerberos, le serveur authentifiant les utilisateurs doit prendre en charge l'authentification Kerberos. Si le serveur ne prend pas en charge cette méthode, l'authentification NTLM est automatiquement sélectionnée.

Conditions pour l'authentification

  • Configurez un contrôleur de domaine dans le domaine que vous indiquez.

  • Pour obtenir des informations utilisateurs dans un environnement Active Directory en cours d'exécution, utilisez LDAP. Il est conseillé de chiffrer la communication entre l'appareil et le serveur LDP à l'aide du protocole SSL/TLS. Le serveur doit prendre en charge la méthode de chiffrement TLS1.0/1.1/1.2 ou SSL 3.0. Au préalable, enregistrez le certificat de serveur du contrôleur de domaine.

    Créer un certificat de serveur

  • La méthode TLS1.0/SSL 3.0 est désactivée dans les paramètres par défaut. Pour utiliser TLS1.0/SSL 3.0, activez TLS1.0/SSL 3.0 dans Web Image Monitor.

  • Lorsque l'authentification Kerberos est activée, la transmission des données entre l'appareil et le serveur KDC (Key Distribution Center) est chiffrée.

    Crypter la communication réseau

Remarque

  • Le serveur peut authentifier des utilisateurs gérés dans d'autres domaines, mais ne peut pas obtenir des informations telles que l'adresse e-mail.

  • Lorsque l'authentification Kerberos est activée, l'adresse e-mail ne peut pas être obtenue si SSL/TLS est sélectionné.

  • Même si vous modifiez les informations d'un utilisateur authentifié (par exemple l'adresse e-mail) dans le carnet d'adresses de l'appareil, elles risquent d'être écrasées par les informations du serveur au moment de l'authentification.

  • Si vous avez créé un nouvel utilisateur dans le contrôleur de domaine et que vous avez sélectionné « L'utilisateur doit modifier le mot de passe lors de la prochaine connexion », connectez-vous tout d'abord à l'ordinateur et modifiez le mot de passe.

  • Si le compte « Invité » du serveur Windows est activé, les utilisateurs qui ne sont pas enregistrés sur le contrôleur de domaine peuvent être authentifiés. Si ce compte est activé, les utilisateurs sont enregistrés dans le carnet d'adresses et peuvent utiliser les fonctions disponibles sous [*Groupe par défaut].

Authentification LDAP

Éléments

Explications

Version disponible

LDAP Version 2.0/3.0

Méthode d'authentification

  • Authentification Kerberos

  • Authentification Digest

  • Authentification en texte clair

Si vous sélectionnez l'authentification en texte clair, l'authentification LDAP simplifiée est activée. L'authentification simplifiée peut être effectuée à l'aide d'attributs utilisateur (tels que cn ou uid), plutôt que d'attributs DN.

Conditions pour l'authentification

  • Pour utiliser SSL/TLS, le serveur doit prendre en charge la méthode de chiffrement TLS1.0/1.1/1.2 ou SSL 3.0.

  • La méthode TLS1.0/SSL 3.0 est désactivée dans les paramètres par défaut. Pour utiliser TLS1.0/SSL 3.0, activez TLS1.0/SSL 3.0 dans Web Image Monitor.

  • Pour utiliser l'authentification Kerberos, enregistrez la zone pour distinguer la zone de réseau.

    Programmation de la zone (Realm)

  • Lorsque l'authentification Kerberos est activée, la transmission des données entre l'appareil et le serveur KDC (Key Distribution Center) est chiffrée.

    Crypter la communication réseau

  • Lorsque vous utilisez LDAP, seule la version 3.0 peut utiliser l'authentification Digest.

Remarques lorsque le serveur LDAP est configuré à l'aide de Active Directory

  • Si l'authentification Kerberos et SSL/TLS sont activés, l'adresse e-mail ne peut pas être récupérée.

  • L'authentification anonyme est peut-être disponible. Pour renforcer la sécurité, désactivez l'authentification anonyme.

Remarque

  • Même si vous modifiez les informations d'un utilisateur authentifié (par exemple l'adresse e-mail) dans le carnet d'adresses de l'appareil, elles risquent d'être écrasées par les informations du serveur au moment de l'authentification.

  • Sous l'authentification LDAP, vous ne pouvez pas spécifier de restrictions d'accès pour les groupes enregistrés sur le serveur.

  • S'il utilise la machine pour la première fois, l'utilisateur peut utiliser les « Fonctions disponibles » indiquées dans [Gestion authentificat° utilisateur].

  • Pour indiquer les « Fonctions disponibles » pour chaque utilisateur, enregistrez l'utilisateur et les « Fonctions disponibles » dans le carnet d'adresses, ou indiquez les fonctions disponibles dans l'utilisateur automatiquement enregistré dans le carnet d'adresses.

Installer le serveur Web (IIS) et « l'Active Directory Certificate Service ».

Installez le service nécessaire sur le serveur Windows pour obtenir automatiquement les informations utilisateur enregistrées dans l'Active Directory.

Windows Server 2012/2016

1Dans le menu [Démarrer], cliquez sur [Gestionnaire de serveur].

2Dans le menu [Gérer], cliquez sur [Ajouter des rôles et fonctionnalités].

3Cliquez sur [Suivant].

4Sélectionnez [Installation basée sur un rôle ou une fonctionnalité], puis cliquez sur [Suivant].

5Sélectionnez un serveur.

6Cochez les cases [Service de certificats Active Directory] et [Serveur Web (IIS)], puis cliquez sur [Suivant].

Si un message de confirmation s'affiche, cliquez sur [Ajouter des fonctionnalités].

7Vérifiez les fonctions à installer et cliquez sur [Suivant].

8Lisez les informations, puis cliquez sur [Suivant].

9Assurez-vous que la case [Autorité de certification] est sélectionnée dans la zone Services de rôle des Services de certificats Active Directory, et cliquez sur [Suivant].

10Lisez les informations, puis cliquez sur [Suivant].

Si vous utilisez Windows Server 2016, allez à l'étape 12 après avoir lu les informations de contenu.

11Vérifiez les services de rôle à installer sous Serveur Web (IIS), et cliquez sur [Suivant].

12Cliquez sur [Installer].

13Une fois l'installation terminée, cliquez sur l'icône de notification du gestionnaire de serveur, puis sur [Configurer le service de certificats Active Directory sur le serveur de destination].

14Cliquez sur [Suivant].

15Cliquez sur Autorité de certification dans la zone Services de rôle, puis sur [Suivant].

16Sélectionnez [AC d’entreprise] et cliquez sur [Suivant.].

17Sélectionnez [AC racine], puis cliquez sur [Suivant].

18Sélectionnez [Créer une nouvelle clé privée], puis cliquez sur [Suivant].

19Sélectionnez un fournisseur de services de chiffrement, la longueur de la clé et l'algorithme de hachage pour créer une clé privée, puis cliquez sur [Suivant].

20Dans « Nom commun pour cette AC : », saisissez le nom de l'autorité de certification, puis cliquez sur [Suivant].

21Sélectionnez la période de validité, puis cliquez sur [Suivant].

22Laissez « Emplacement de la base de données de certificats » et « Emplacement du journal de la base de données de certificats » tels quels, et cliquez sur [Suivant].

23Cliquez sur [Configurer].

24Si le message « Configuration réussie » s'affiche, cliquez sur [Fermer].

Windows Server 2008 R2

1Dans le menu « Démarrer », pointez sur « Outils Administrateur », puis lancez le gestionnaire de serveur.

2Cliquez sur [Rôles] dans la colonne de gauche, puis cliquez sur [Ajouter Rôles] depuis le menu « Action ».

3Cliquez sur [Suivant].

4Cochez les cases « Serveur Web (IIS) » et « Services de certificat de répertoire actif », puis cliquez sur [Suivant].

Si un message de confirmation s'affiche, cliquez sur [Ajouter des fonctionnalités].

5Lisez les informations, puis cliquez sur [Suivant].

6Cliquez sur « Autorité de certification », puis sur [Suivant].

7Sélectionnez « Entreprise » et cliquez sur [Suivant].

8Sélectionnez « AC racine », puis cliquez sur [Suivant].

9Sélectionnez « Créer une nouvelle clé privée», puis cliquez sur [Suivant].

10Sélectionnez un prestataire de services cryptographiques, la longueur de la clé, et l'algorithme de hachage pour créer une nouvelle clé privée, puis cliquez sur [Suivant].

11Dans « Nom commun pour cette AC : », saisissez le nom de l'autorité de certification, puis cliquez sur [Suivant].

12Sélectionnez la période de validité, puis cliquez sur [Suivant].

13Laissez « Emplacement de la base de données de certificats : » et « Emplacement du journal de la base de données de certificats : » tels quels, et cliquez ensuite sur [Suivant].

14Lisez les commentaires, puis cliquez sur [Suivant].

15Sélectionnez les services de rôle à installer, et cliquez ensuite sur [Suivant].

16Cliquez sur [Installer].

L'installation des fonctions ajoutées démarre.

Créer un certificat de serveur

Pour chiffrer des informations utilisateur, créez un certificat de serveur sur le serveur Windows. Windows Server 2016 est utilisé à titre d'exemple.

1Dans le menu [Démarrer], cliquez sur [Toutes les applications], et cliquez ensuite sur [Internet Information Service (IIS)].

2Dans la colonne de gauche, cliquez sur [Nom du serveur], et ensuite double-cliquez sur [Certificat de serveur].

3Dans la colonne de droite, cliquez sur [Créer une demande de certificat...]

4Saisissez toutes les informations requises, puis cliquez sur [Suivant].

5Dans « Prestataire de services cryptographiques : », sélectionnez un prestataire, puis cliquez sur [Suivant].

6Cliquez sur [...], puis spécifiez un nom de fichier pour la demande de certificat.

7Spécifiez l'emplacement d'enregistrement du fichier, puis cliquez sur [Ouvrir]

8Cliquez sur [Terminer].