Configurer l'authentification Windows intégrée

Configurez le serveur du contrôleur de domaine Active Directory, AX Serveur et l'environnement bureau pour chaque utilisateur final de l'application cliente pour configurer l'authentification Windows intégrée.

Aperçu de la configuration

  1. Créez un nouveau compte Windows Nom de service principal (SPN) dans Active Directory pour mapper le service d'authentification d'AX Serveur à un compte Active Directory. Pour connaître la procédure, consultez Créer un compte SPN.
  2. Mappez le service d'authentification d'AX Serveur au compte SPN Active Directory à l'aide de la commande ktpass. Pour connaître la procédure, consultez Mapper le service d'authentification au compte SPN.
  3. Enregistrez un compte SPN pour le service Connecteur AX à l'aide de la commande setspn. Pour connaître la procédure, consultez Enregistrer un compte SPN pour le service Connecteur AX.
  4. Facultatif. Copiez le fichier keytab vers l'instance AX Serveur et testez votre mappage de compte SPN à l'aide de la commande kinit. Pour connaître la procédure, consultez Tester le mappage de compte SPN.
  5. Activez l'authentification Windows intégrée depuis Internet Explorer dans chaque environnement bureau de l'utilisateur final. Pour connaître la procédure, consultez Activer l'authentification Windows intégrée depuis Internet Explorer.

Créer un compte SPN

  1. Dans le serveur de contrôleur du domaine Active Directory, cliquez sur Démarrer >Tous les programmes > Outils d'administration > Ordinateurs et utilisateurs Active Directory.
  2. Cliquez avec le bouton droit sur l'entrée dans l'arborescenceu où vous souhaitez créer le nouveau compte SPN et sélectionnez Nouveau > Utilisateur.
  3. Entrez les informations demandées et cliquez sur Suivant.
  4. Configurez le mot de passe utilisateur et cliquez sur Suivant :
    1. Entrez le mot de passe du compte.
    2. Décochez L'utilisateur doit modifier son mot de passe à la prochaine connexion.
    3. Sélectionnez Le mot de passe n'expire jamais.
  5. Cliquez sur Terminer.

Mapper le service d'authentification au compte SPN

  1. Dans le serveur de contrôleur de domaine Active Directory, ouvrez une invite de commande et modifiez les répertoires selon l'emplacement de ktpass.exe.

    L'emplacement par défaut est c:\Program Files\Support Tools.

  2. Pour mapper le service d'authentification au compte SPN, saisissez les données suivantes keypass command: 
    ktpass /out nomfichier /princ nom /pass motdepasse /mapuser nomutilisateur_local /ptype type_principal /crypto type_cryptage

Pour connaître la syntaxe ktpass, consultez Référence Ktpass Microsoft.

Exemple

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Enregistrer un compte SPN pour le service Connecteur AX

  1. Dans le serveur de contrôleur de domaine Active Directory, ouvrez une invite de commande et modifiez les répertoires selon l'emplacement de setspn.exe.

    L'emplacement par défaut est c:\Program Files\Support Tools.

  2. Pour enregistrer le compte SPN, saisissez la commande suivante setspn : 
    setspn -A ACLSE/domaine_complet_et_nomserveur nom_ordinateur

    Commentaires

    ACLSE correspond àla valeur requise pour identifier Connecteur AX et elle doit se saisir en majuscules. La valeur nom_ordinateur peut se saisir comme nom ou domaine\nom.

  3. Facultatif. Pour vérifier le mappage du compte SPN, utilisez la commande suivante setspn : 
    setspn -L nom_ordinateur

Exemple

setspn -A ACLSE/axserver.acl.com axserver

Tester le mappage de compte SPN

Conditions préalable : ajoutez le sous-dossier Java bin à votre variable d'environnement path pour utiliser la commande klist sans indiquer le chemin d'accès complet.

set PATH=java_bin_path;%PATH%
  1. Dans le serveur du contrôleur de domaine Active Directory, copiez le fichier .keytab que vous avez créé avec la commande ktpass et collez-la dans le répertoire Windows d'AX Serveur.
  2. Dans le répertoire Windows d'AX Serveur, créez un fichier intitulé krb5.ini.
  3. Depuis l'invite de commande, utilisez la commande suivante pour vérifier que le fichier keytab peut se lire : 
    klist -k
  4. Pour tenter l'authentification, utilisez la commande suivante : 
    kinit nomutilisateur@REALM.COM
  5. Entrez le mot de passe utilisateur et appuyez sur Entrée.

Exemple fichier krb5.ini

 [libdefaults] ticket_lifetime = 24000 default_realm = <domaine> default_keytab_name = <chemin_fichier_keytab> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <domaine> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.domaine> = <DOMAIN> <domaine> = <DOMAIN>

Activer l'authentification Windows intégrée depuis Internet Explorer

  1. Dans Microsoft Internet Explorer, cliquez sur Outils > Options Internet > Avancé.
  2. Sous le groupe Sécurité, sélectionnez Activer l'authentification Windows intégrée et cliquez sur Appliquer.
  3. Cliquez sur l'onglet Sécurité.
  4. Sélectionnez l'icône Intranet local, puis cliquez sur Sites.
  5. Dans la boîte de dialogue Intranet local, cliquez sur Avancé et saisissez l'URL HTTPS pour votre instance AX Serveur et cliquez sur Ajouter.

    Exemple : https://axserver.ax.com.

  6. Cliquez sur Fermer, cliquez sur OK dans chaque boîte de dialogue ouverte jusqu'à ce que la boîte de dialogue Options Internet se ferme puis redémarrez Internet Explorer.

Les paramètres mis à jours s'appliqueront la prochaine fois que vous lancerez Internet Explorer.