Integrierte Windows-Authentifizierung konfigurieren

Richten Sie den Active Directory Domänencontroller Server, den AX Server und die Desktop-Umgebung für jeden Endanwender einer Client-Anwendung, um die integrierte Windows Authentifizierung zu konfigurieren.

Konfigurationsübersicht

  1. Legen Sie ein neues Windows-Konto Service Principal Name (SPN) im Active Directory an, um den AX Server Authentifizierungsdienst mit einem Active Directory Konto zuzuordnen. Die erforderlichen Schritte hierzu finden Sie unter Ein SPN-Konto anlegen.
  2. Ordnen Sie den AX Server Authentifizierungsdienst mit dem Active Directory SPN-Konto mit Hilfe des ktpass Befehls zu. Die erforderlichen Schritte hierzu finden Sie unter Den Authentifizierungsdienst dem SPN-Konto zuordnen.
  3. Registrieren Sie einen SPN für den AX Connector Dienst mit Hilfe des setspn Befehls. Die erforderlichen Schritte hierzu finden Sie unter Einen SPN für den AX Connector Dienst registrieren.
  4. Optional. Kopieren Sie die Keytab-Datei auf die AX Server Instanz und verwenden Sie den kinit Befehl, um Ihre SPN-Kontoverknüpfung zu testen. Die erforderlichen Schritte hierzu finden Sie unter Die SPN-Kontozuordnung testen.
  5. Aktivieren Sie die integrierte Windows Authentifizierung im Internet Explorer für die Desktop-Umgebung jedes Endanwenders. Die erforderlichen Schritte hierzu finden Sie unter Integrierte Windows-Authentifizierung im Internet Explorer aktivieren.

Ein SPN-Konto anlegen

  1. Auf dem Active Directory Domänencontroller Server klicken Sie auf Start > Alle Programme > Administrative Extras > Active Directory Anwender und Rechner.
  2. Klicken Sie mit der rechten Maustaste auf den Domäneneintrag in der Baumansicht für den Sie das neue SPN-Konto anlegen möchten und klicken Sie dann auf Neu > Anwender.
  3. Geben Sie die erforderlichen Informationen ein, und klicken Sie auf Weiter.
  4. Konfigurieren Sie das Anwenderkennwort und klicken Sie auf Weiter:
    1. Geben Sie das Kontokennwort ein.
    2. Heben Sie die Auswahl Anwender muss Kennwort bei der nächsten Anmeldung ändern auf.
    3. Wählen Sie Kennwort läuft nie ab.
  5. Klicken Sie auf Fertigstellen.

Den Authentifizierungsdienst dem SPN-Konto zuordnen

  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei ktpass.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den Authentifizierungsdienst dem SPN-Konto zuzuordnen, geben Sie den folgenden keypass Befehl ein: 
    ktpass /out Dateiname /princ Name /pass Kennwort /mapuser lokaler_Anwendername /ptype principal_type /crypto Verschlüsselungsart

Einzelheiten zum ktpass Syntax finden Sie unter Microsoft Ktpass Referenz.

Beispiel

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Einen SPN für den AX Connector Dienst registrieren

  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei setspn.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den SPN zu registrieren, geben Sie den folgenden setspn Befehl ein: 
    setspn -A ACLSE/vollständiger_domänen_und_servername rechner_name

    Anmerkung

    ACLSE ist der für die AX Connector Identifizierung erforderliche Wert. Dieser muss in Großbuchstaben eingegeben werden. Der Wert rechner_name kann als name oder domäne\name eingegeben werden.

  3. Optional. Verwenden Sie den folgenden setspn Befehl, um den die Zuordnung zu verifizieren: 
    setspn -L rechner_name

Beispiel

setspn -A ACLSE/axserver.acl.com axserver

Die SPN-Kontozuordnung testen

Voraussetzung: Fügen Sie das Unterverzeichnis bin von Java der Umgebungsvariable path hinzu, um den Befehl klist ohne Angabe des vollständigen Pfads verwenden zu können.

set PATH=java_bin_path;%PATH%
  1. Kopieren Sie auf dem Active Directory Domänencontroller Server die Datei .keytab, die Sie mit dem Befehl ktpass erstellt haben, in das Windows Verzeichnis auf dem AX Server.
  2. Erstellen Sie in dem Windows Verzeichnis des AX Servers eine Datei mit dem Namen krb5.ini.
  3. Verwenden Sie in einem Befehlseingabefenster den folgenden Befehl, um zu verifizieren, dass die Keytab-Datei gelesen werden kann: 
    klist -k
  4. Verwenden Sie den folgenden Befehl zur Authentifizierung: 
    kinit username@REALM.COM
  5. Geben Sie das Kennwort für den Anwender ein und drücken Sie die Eingabetaste.

Beispiel einer krb5.in Datei

 [libdefaults] ticket_lifetime = 24000 default_realm = <domain> default_keytab_name = <path_to_keytab_file> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <domain> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.domain> = <DOMAIN> <domain> = <DOMAIN>

Integrierte Windows-Authentifizierung im Internet Explorer aktivieren

  1. Klicken Sie im Microsoft Internet Explorer auf Extras > Internetoptionen > Erweitert.
  2. Unter der Gruppe Sicherheit wählen Sie Integrierte Windows Authentifizierung aktivieren und klicken Sie dann auf Anwenden.
  3. Klicken Sie auf die Registerkarte Sicherheit.
  4. Wählen Sie das Symbol Lokales Intranet und klicken Sie dann auf Sites.
  5. In dem Dialogfeld Lokales Intranet klicken Sie auf Erweitert, geben Sie HTTPS URL für Ihre AX Server Instanz ein und klicken Sie dann auf Hinzufügen.

    Beispiel: https://axserver.ax.com.

  6. Klicken Sie auf Schließen und dann in jedem offenen Dialogfeld auf OK bis das Dialogfeld Internetoptionen geschlossen wird. Starten Sie anschließend den Internet Explorer neu.

Ihre aktualisierten Einstellungen werden wirksam, sobald Sie den Internet Explorer erneut starten.