Préparer le serveur à utiliser pour l'authentification utilisateur
Lorsque vous utilisez l'authentification Windows ou LDAP pour la première fois en tant que méthode d'authentification utilisateur, vérifiez que votre environnement serveur répond aux exigences de l'authentification utilisateur, et réglez les paramètres nécessaires.
Pour utiliser l'authentification Windows
Préparez le serveur comme suit :
Vérifiez les conditions de l'authentification Windows.
Installez le serveur Web (IIS) et « l'Active Directory Certificate Service » sur le serveur.
Créez un certificat de serveur.
Il n'est pas nécessaire de créer un certificat de serveur pour transmettre les informations utilisateur non chiffrées.
Pour utiliser l'authentification LDAP
Vérifiez les conditions de l'authentification LDAP et réglez les paramètres selon l'environnement serveur.
Conditions de l'authentification serveur utilisée pour l'authentification utilisateur
Éléments | Explication |
---|---|
OS pris en charge | Windows Server 2008/2008 R2/2012/2012 R2/2016/2019
|
Méthode d'authentification | Prend en charge les méthodes d'authentification suivantes :
Pour utiliser l'authentification Kerberos, le serveur authentifiant les utilisateurs doit prendre en charge l'authentification Kerberos. Si le serveur ne prend pas en charge cette méthode, l'authentification NTLM est automatiquement sélectionnée. |
Conditions pour l'authentification |
|
Le serveur peut authentifier des utilisateurs gérés dans d'autres domaines, mais ne peut pas obtenir des informations telles que l'adresse e-mail.
Lorsque l'authentification Kerberos est activée, l'adresse e-mail ne peut pas être obtenue si SSL/TLS est sélectionné.
Même si vous modifiez les informations d'un utilisateur authentifié (par exemple l'adresse e-mail) dans le carnet d'adresses de l'appareil, elles risquent d'être écrasées par les informations du serveur au moment de l'authentification.
Si vous avez créé un nouvel utilisateur dans le contrôleur de domaine et que vous avez sélectionné « L'utilisateur doit modifier le mot de passe lors de la prochaine connexion », connectez-vous tout d'abord à l'ordinateur et modifiez le mot de passe.
Si le compte « Invité » du serveur Windows est activé, les utilisateurs qui ne sont pas enregistrés sur le contrôleur de domaine peuvent être authentifiés. Si ce compte est activé, les utilisateurs sont enregistrés dans le carnet d'adresses et peuvent utiliser les fonctions disponibles sous [*Groupe par défaut].
Éléments | Explications |
---|---|
Version disponible | LDAP Version 2.0/3.0 |
Méthode d'authentification |
Si vous sélectionnez l'authentification en texte clair, l'authentification LDAP simplifiée est activée. L'authentification simplifiée peut être effectuée à l'aide d'attributs utilisateur (tels que cn ou uid), plutôt que d'attributs DN. |
Conditions pour l'authentification |
|
Remarques lorsque le serveur LDAP est configuré à l'aide de Active Directory
Si l'authentification Kerberos et SSL/TLS sont activés, l'adresse e-mail ne peut pas être récupérée.
L'authentification anonyme est peut-être disponible. Pour renforcer la sécurité, désactivez l'authentification anonyme.
Même si vous modifiez les informations d'un utilisateur authentifié (par exemple l'adresse e-mail) dans le carnet d'adresses de l'appareil, elles risquent d'être écrasées par les informations du serveur au moment de l'authentification.
Sous l'authentification LDAP, vous ne pouvez pas spécifier de restrictions d'accès pour les groupes enregistrés sur le serveur.
S'il utilise la machine pour la première fois, l'utilisateur peut utiliser les « Fonctions disponibles » indiquées dans [Gestion authentificat° utilisateur].
Pour indiquer les « Fonctions disponibles » pour chaque utilisateur, enregistrez l'utilisateur et les « Fonctions disponibles » dans le carnet d'adresses, ou indiquez les fonctions disponibles dans l'utilisateur automatiquement enregistré dans le carnet d'adresses.
Installer le serveur Web (IIS) et « l'Active Directory Certificate Service ».
Installez le service nécessaire sur le serveur Windows pour obtenir automatiquement les informations utilisateur enregistrées dans l'Active Directory.
Windows Server 2012/2016
Dans le menu [Démarrer], cliquez sur [Gestionnaire de serveur].
Dans le menu [Gérer], cliquez sur [Ajouter des rôles et fonctionnalités].
Cliquez sur [Suivant].
Sélectionnez [Installation basée sur un rôle ou une fonctionnalité], puis cliquez sur [Suivant].
Sélectionnez un serveur.
Cochez les cases [Service de certificats Active Directory] et [Serveur Web (IIS)], puis cliquez sur [Suivant].
Si un message de confirmation s'affiche, cliquez sur [Ajouter des fonctionnalités].
Vérifiez les fonctions à installer et cliquez sur [Suivant].
Lisez les informations, puis cliquez sur [Suivant].
Assurez-vous que la case [Autorité de certification] est sélectionnée dans la zone Services de rôle des Services de certificats Active Directory, et cliquez sur [Suivant].
Lisez les informations, puis cliquez sur [Suivant].
Si vous utilisez Windows Server 2016, allez à l'étape 12 après avoir lu les informations de contenu.
Vérifiez les services de rôle à installer sous Serveur Web (IIS), et cliquez sur [Suivant].
Cliquez sur [Installer].
Une fois l'installation terminée, cliquez sur l'icône de notification du gestionnaire de serveur, puis sur [Configurer le service de certificats Active Directory sur le serveur de destination].
Cliquez sur [Suivant].
Cliquez sur Autorité de certification dans la zone Services de rôle, puis sur [Suivant].
Sélectionnez [AC d’entreprise] et cliquez sur [Suivant.].
Sélectionnez [AC racine], puis cliquez sur [Suivant].
Sélectionnez [Créer une nouvelle clé privée], puis cliquez sur [Suivant].
Sélectionnez un fournisseur de services de chiffrement, la longueur de la clé et l'algorithme de hachage pour créer une clé privée, puis cliquez sur [Suivant].
Dans « Nom commun pour cette AC : », saisissez le nom de l'autorité de certification, puis cliquez sur [Suivant].
Sélectionnez la période de validité, puis cliquez sur [Suivant].
Laissez « Emplacement de la base de données de certificats » et « Emplacement du journal de la base de données de certificats » tels quels, et cliquez sur [Suivant].
Cliquez sur [Configurer].
Si le message « Configuration réussie » s'affiche, cliquez sur [Fermer].
Windows Server 2008 R2
Dans le menu « Démarrer », pointez sur « Outils Administrateur », puis lancez le gestionnaire de serveur.
Cliquez sur [Rôles] dans la colonne de gauche, puis cliquez sur [Ajouter Rôles] depuis le menu « Action ».
Cliquez sur [Suivant].
Cochez les cases « Serveur Web (IIS) » et « Services de certificat de répertoire actif », puis cliquez sur [Suivant].
Si un message de confirmation s'affiche, cliquez sur [Ajouter des fonctionnalités].
Lisez les informations, puis cliquez sur [Suivant].
Cliquez sur « Autorité de certification », puis sur [Suivant].
Sélectionnez « Entreprise » et cliquez sur [Suivant].
Sélectionnez « AC racine », puis cliquez sur [Suivant].
Sélectionnez « Créer une nouvelle clé privée», puis cliquez sur [Suivant].
Sélectionnez un prestataire de services cryptographiques, la longueur de la clé, et l'algorithme de hachage pour créer une nouvelle clé privée, puis cliquez sur [Suivant].
Dans « Nom commun pour cette AC : », saisissez le nom de l'autorité de certification, puis cliquez sur [Suivant].
Sélectionnez la période de validité, puis cliquez sur [Suivant].
Laissez « Emplacement de la base de données de certificats : » et « Emplacement du journal de la base de données de certificats : » tels quels, et cliquez ensuite sur [Suivant].
Lisez les commentaires, puis cliquez sur [Suivant].
Sélectionnez les services de rôle à installer, et cliquez ensuite sur [Suivant].
Cliquez sur [Installer].
L'installation des fonctions ajoutées démarre.
Créer un certificat de serveur
Pour chiffrer des informations utilisateur, créez un certificat de serveur sur le serveur Windows. Windows Server 2016 est utilisé à titre d'exemple.
Dans le menu [Démarrer], cliquez sur [Toutes les applications], et cliquez ensuite sur [Internet Information Service (IIS)].
Dans la colonne de gauche, cliquez sur [Nom du serveur], et ensuite double-cliquez sur [Certificat de serveur].
Dans la colonne de droite, cliquez sur [Créer une demande de certificat...]
Saisissez toutes les informations requises, puis cliquez sur [Suivant].
Dans « Prestataire de services cryptographiques : », sélectionnez un prestataire, puis cliquez sur [Suivant].
Cliquez sur [...], puis spécifiez un nom de fichier pour la demande de certificat.
Spécifiez l'emplacement d'enregistrement du fichier, puis cliquez sur [Ouvrir]
Cliquez sur [Terminer].