Integrierte Windows-Authentifizierung konfigurieren

Richten Sie den Active Directory Domänencontroller Server, den AX Server und die Desktop-Umgebung für jeden Endbenutzer einer Client-Anwendung, um die integrierte Windows Authentifizierung zu konfigurieren. Die integrierte Windows-Authentifizierung ermöglicht die Einmalanmeldung als Zugriffskontrolle für Benutzer von AX Client.

Hinweis

Die integrierte Windows-Authentifizierung wird nicht für Instanzen von AX Client unterstützt, die auf dem Betriebssystem des Servers ausgeführt werden. Sie müssen die Verbindung von einem Client-Betriebssystem aufbauen, sonst zeigt die Anwendung standardmäßig die formularbasierte Authentifizierung an.

Funktionsweise

Die integrierte Windows-Authentifizierung verwendet Sicherheitsfunktionen von Windows-Clients und -Servern. Benutzer werden nicht aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Stattdessen werden die Daten des aktuellen Windows-Benutzers auf dem Client-Computer über einen Webbrowser unter Verwendung einer verschlüsselten Verbindung übertragen. Die folgenden Protokolle werden zur Verwaltung der Authentifizierung unterstützt:

  • SPNEGO AX-Client-Verbindungen
  • Kerberos-Serverprofilverbindungen mit Analytics

Wenn der Authentifizierungsaustausch zu Beginn fehlschlägt, und der Benutzer nicht identifiziert werden kann, wird im Webbrowser eine Benutzeraufforderung angezeigt, und der Benutzer muss einen Benutzernamen und ein Kennwort für ein Windows-Benutzerkonto eingeben.

Ein SPN-Konto anlegen

Legen Sie ein neues Windows-Konto Service Principal Name (SPN) im Active Directory an, um den AX Server Authentifizierungsdienst mit einem Active Directory Konto zuzuordnen.

  1. Auf dem Active Directory Domänencontroller Server klicken Sie auf Start > Alle Programme > Administrative Extras > Active Directory Benutzer und Rechner.
  2. Klicken Sie mit der rechten Maustaste auf den Domäneneintrag in der Baumansicht für den Sie das neue SPN-Konto anlegen möchten und klicken Sie dann auf Neu > Benutzer.
  3. Geben Sie die erforderlichen Informationen ein, und klicken Sie auf Weiter.
  4. Konfigurieren Sie das Benutzerkennwort und klicken Sie auf Weiter
    1. Geben Sie das Kontokennwort ein.
    2. Heben Sie die Auswahl Benutzer muss Kennwort bei der nächsten Anmeldung ändern auf.
    3. Wählen Sie Kennwort läuft nie ab.
  5. Klicken Sie auf Fertigstellen.

Den Authentifizierungsdienst dem SPN-Konto zuordnen

Ordnen Sie den AX Server Authentifizierungsdienst mit dem Active Directory SPN-Konto mit Hilfe des ktpass Befehls zu.

  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei ktpass.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den Authentifizierungsdienst dem SPN-Konto zuzuordnen, geben Sie den folgenden keypass-Befehl ein:

    ktpass /out Dateiname /princ Name /pass Kennwort /mapuser lokaler_Benutzername /ptype Prinzipaltyp /crypto Verschlüsselungsart

Einzelheiten zum ktpass Syntax finden Sie unter Microsoft Ktpass Referenz.

Beispiel

Das folgende Beispiel ordnet den Authentifizierungsdienst dem SPN-Konto mit dem Befehl ktpass zu:

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Einen SPN für den AX-Konnektor Dienst registrieren

Registrieren Sie einen SPN für den AX-Konnektor-Dienst mit Hilfe des setspn Befehls.

  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei setspn.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den SPN zu registrieren, geben Sie den folgenden setspn-Befehl ein:

    setspn -A ACLSE/vollständiger_Domänen-_und_Servername Computername

    Hinweis

    ACLSE ist der benötigte Wert zur Identifizierung von AX Connector und muss in Großbuchstaben eingegeben werden. Der Wert Computername kann als Name oder Domäne\Name eingegeben werden.

  3. Optional. Verwenden Sie den folgenden setspn-Befehl, um die Zuordnung des SPN-Kontos zu verifizieren:

    setspn -L Computername

Beispiel

Das folgende Beispiel verwendet den setspn-Befehl, um den SPN zu registrieren:

setspn -A ACLSE/axserver.beispiel.com axserver

Die SPN-Kontozuordnung testen

Kopieren Sie optional die Keytab-Datei auf die AX-Server-Instanz, und verwenden Sie den Befehl kinit, um Ihre SPN-Kontozuordnung zu testen.

Voraussetzung: Fügen Sie das Unterverzeichnis bin von Java der Umgebungsvariable path hinzu, um den Befehl klist ohne Angabe des vollständigen Pfads verwenden zu können.

set PATH=java_bin_path;%PATH%
  1. Kopieren Sie auf dem Active Directory Domänencontroller Server die Datei .keytab, die Sie mit dem Befehl ktpass erstellt haben, in das Windows Verzeichnis auf dem AX Server.
  2. Erstellen Sie in dem Windows Verzeichnis des AX Servers eine Datei mit dem Namen krb5.ini.

  3. Verwenden Sie in der Eingabeaufforderung den folgenden Befehl, um zu verifizieren, dass die Keytab-Datei gelesen werden kann:

    klist -k

  4. Verwenden Sie den folgenden Befehl, um eine Authentifizierung zu versuchen:

    kinit username@REALM.COM
  5. Geben Sie das Kennwort für den Benutzer ein und drücken Sie die Eingabetaste.

Beispiel

Es folgt ein Beispiel der krb5.ini-Datei:

[libdefaults]
ticket_lifetime = 24000
default_realm = Ihre_Domäne
default_keytab_name = <Pfad_zur_Keytab-Datei>
dns_lookup_realm = false
dns_lookup_kdc = false
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac

[realms]
Ihre_Domäne = {
  kdc = Ihr_Active-Directory-Server.Domäne.com:88
}

[domain_realm]
Ihre_Domäne = YOUR_DOMAIN
Ihre_Domäne = YOUR_DOMAIN

Integrierte Windows-Authentifizierung im Internet Explorer aktivieren

Aktivieren Sie die integrierte Windows Authentifizierung im Internet Explorer für die Desktop-Umgebung jedes Endbenutzers. Benutzer müssen sich von einem Client-Betriebssystem aus anmelden. Die integrierte Windows-Authentifizierung wird nicht für Instanzen von AX Client unterstützt, die auf dem Betriebssystem des Servers ausgeführt werden.

  1. Klicken Sie im Microsoft Internet Explorer auf Extras > Internetoptionen > Erweitert.
  2. Unter der Gruppe Sicherheit wählen Sie Integrierte Windows Authentifizierung aktivieren und klicken Sie dann auf Anwenden.
  3. Klicken Sie auf die Registerkarte Sicherheit.
  4. Wählen Sie das Symbol Lokales Intranet und klicken Sie dann auf Sites.
  5. In dem Dialogfeld Lokales Intranet klicken Sie auf Erweitert, geben Sie HTTPS URL für Ihre AX Server Instanz ein und klicken Sie dann auf Hinzufügen.

    Beispiel: https://axserver.ax.com.

  6. Klicken Sie auf Schließen und dann in jedem offenen Dialogfeld auf OK bis das Dialogfeld Internetoptionen geschlossen wird. Starten Sie anschließend den Internet Explorer neu.

Ihre aktualisierten Einstellungen werden wirksam, sobald Sie den Internet Explorer erneut starten.