Configurar la Autenticación de Windows integrada

Configure el servidor Controlador de Dominios de Active Directory, el Servidor de AX y el entorno de escritorio para cada usuario final de la aplicación cliente para la Autenticación de Windows integrada.

Descripción general de la configuración

  1. Cree una nueva cuenta Nombre principal de servicio (SPN) de Windows en Active Directory para asociar el servicio de autenticación del Servidor de AX a una cuenta de Active Directory. Para ver los pasos, consulte Crear una cuenta SPN.
  2. Asocie el servicio de autenticación del Servidor de AX a la cuenta de SPN de Active Directory usando el comando ktpass. Para ver los pasos, consulte Asignar el servicio de autenticación a la cuenta SPN.
  3. Registre un SPN para el servicio del Conector de AX usando el comando setspn. Para ver los pasos, consulte Registre un SPN para el servicio Conector de AX.
  4. Opcional. Copie el archivo de pares de kerberos para la instancia del Servidor de AX y utilice el comando kinit para probar la asignación de la cuenta SPN. Para ver los pasos, consulte Probar la asignación de la cuenta SPN.
  5. Habilite la Autenticación de Windows integrada de Internet Explorer en cada entorno de escritorio de los usuarios finales. Para ver los pasos, consulte Habilitar la Autenticación de Windows integrada desde Internet Explorer.

Crear una cuenta SPN

  1. En el servidor del Controlador de Dominios de Active Directory, haga clic en Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory.
  2. Haga clic en la entrada de dominio en la vista de árbol donde desea crear la nueva cuenta SPN y seleccione Nuevo > Usuario.
  3. Escriba la información requerida y haga clic en Siguiente.
  4. Configure la contraseña del usuario y haga clic en Siguiente:
    1. Ingrese la contraseña de la cuenta.
    2. Quite la marca de selección de El usuario debe cambiar la contraseña en el próximo inicio de sesión.
    3. Seleccione La contraseña nunca caduca.
  5. Haga clic en Finalizar.

Asignar el servicio de autenticación a la cuenta SPN

  1. En el servidor Controlador de dominios de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra ktpass.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para asignar el servicio de autenticación a la cuenta SPN, ingrese el siguiente comando keypass: 
    ktpass /out nombre_de_archivo /princ nombre /pass contraseña /mapuser nombre_de_usuario_local /ptype tipo_principal /crypto tipo_de_cifrado

Para la sintaxis de ktpass, consulte Referencia sobre Microsoft Ktpass.

Ejemplo

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Registre un SPN para el servicio Conector de AX

  1. En el servidor Controlador de dominio de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra setspn.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para registrar el SPN, ingrese el siguiente comando setspn: 
    setspn -A ACLSE/dominio_completo_y_nombre_de_servidor nombre_de_servidor

    Nota

    ACLSE es el valor necesario para identificar al Conector de AX y se debe ingresar todo en mayúsculas. El valor nombre_del_equipo se puede ingresar como nombre o dominio\nombre.

  3. Opcional. Para verificar la asociación de la cuenta SPN, use el siguiente comando setspn: 
    setspn -L nombre_de_computadora

Ejemplo

setspn -A ACLSE/axserver.acl.com axserver

Probar la asignación de la cuenta SPN

Prerrequisito: Agregue la subcarpeta bin de Java a la variable de entorno path para utilizar el comando keylist sin especificar la ruta completa.

set PATH=java_bin_path;%PATH%
  1. En el servidor del Controlador de Dominios de Active Directory, copie el archivo .keytab que creó con el comando ktpass y péguelo en el directorio de Windows del Servidor de AX.
  2. En el directorio de Windows del Servidor de AX, cree un archivo llamado krb5.ini.
  3. En el intérprete de comandos, use el siguiente comando para verificar que el archivo de pares de kerberos se pueda leer: 
    klist -k
  4. Para intentar autentificarlo, use el siguiente comando: 
    kinit nombre_de_usuario@REALM.COM
  5. Escriba la contraseña del usuario y presione Intro.

Archivo krb5.ini de ejemplo

 [libdefaults] ticket_lifetime = 24000 default_realm = <dominio> default_keytab_name = <ruta al archivo_keytab> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <dominio> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.dominio> = <DOMAIN> <dominio> = <DOMAIN>

Habilitar la Autenticación de Windows integrada desde Internet Explorer

  1. En Microsoft Internet Explorer, haga clic en Herramientas > Opciones de Internet > Avanzado.
  2. En el grupo Seguridad, seleccione Habilitar Autenticación integrada de Windows y haga clic en Aplicar.
  3. Haga clic en la ficha Seguridad.
  4. Seleccione el icono Intranet local y después haga clic en Sitios.
  5. En el cuadro de diálogo Intranet Local, haga clic en Avanzado y luego ingrese la URL  HTTPS para su instancia del Servidor de AX y haga clic en Agregar.

    Ejemplo: https://axserver.ax.com.

  6. Haga clic en Cerrar, luego en Aceptar en cada cuadro de diálogo abierto, hasta que el cuadro de diálogo Opciones de Internet se cierre y se reinicie Internet Explorer.

La configuración actualizada tendrá efecto la próxima vez que se abra Internet Explorer.