Integrierte Windows-Authentifizierung konfigurieren

Richten Sie den Active Directory Domänencontroller Server, den AX Server und die Desktop-Umgebung für jeden Endanwender einer Client-Anwendung, um die integrierte Windows Authentifizierung zu konfigurieren. Die integrierte Windows-Authentifizierung ermöglicht die Einmalanmeldung als Zugriffskontrolle für Benutzer von AX Client.

Hinweis

Die integrierte Windows-Authentifizierung wird nicht für Instanzen von AX Client unterstützt, die auf dem Betriebssystem des Servers ausgeführt werden. Sie müssen die Verbindung von einem Client-Betriebssystem aufbauen, sonst zeigt die Anwendung standardmäßig die formularbasierte Authentifizierung an.

Funktionsweise

Die integrierte Windows-Authentifizierung verwendet Sicherheitsfunktionen von Windows-Clients und -Servern. Benutzer werden nicht aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Stattdessen werden die Daten des aktuellen Windows-Benutzers auf dem Client-Computer über einen Webbrowser unter Verwendung einer verschlüsselten Verbindung übertragen. Die folgenden Protokolle werden zur Verwaltung der Authentifizierung unterstützt:

Wenn der Authentifizierungsaustausch zu Beginn fehlschlägt, und der Benutzer nicht identifiziert werden kann, wird im Webbrowser eine Benutzeraufforderung angezeigt, und der Benutzer muss einen Benutzernamen und ein Kennwort für ein Windows-Benutzerkonto eingeben.

Ein SPN-Konto anlegen

Legen Sie ein neues Windows-Konto Service Principal Name (SPN) im Active Directory an, um den AX Server Authentifizierungsdienst mit einem Active Directory Konto zuzuordnen.

ClosedZeigen wie das geht
  1. Auf dem Active Directory Domänencontroller Server klicken Sie auf Start > Alle Programme > Administrative Extras > Active Directory Anwender und Rechner.
  2. Klicken Sie mit der rechten Maustaste auf den Domäneneintrag in der Baumansicht für den Sie das neue SPN-Konto anlegen möchten und klicken Sie dann auf Neu > Anwender.
  3. Geben Sie die erforderlichen Informationen ein, und klicken Sie auf Weiter.
  4. Konfigurieren Sie das Anwenderkennwort und klicken Sie auf Weiter:
    1. Geben Sie das Kontokennwort ein.
    2. Heben Sie die Auswahl Anwender muss Kennwort bei der nächsten Anmeldung ändern auf.
    3. Wählen Sie Kennwort läuft nie ab.
  5. Klicken Sie auf Fertigstellen.

Den Authentifizierungsdienst dem SPN-Konto zuordnen

Ordnen Sie den AX Server Authentifizierungsdienst mit dem Active Directory SPN-Konto mit Hilfe des ktpass Befehls zu.

ClosedZeigen wie das geht
  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei ktpass.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den Authentifizierungsdienst dem SPN-Konto zuzuordnen, geben Sie den folgenden keypass Befehl ein: 
    ktpass /out Dateiname /princ Name /pass Kennwort /mapuser lokaler_Anwendername /ptype principal_type /crypto Verschlüsselungsart

Einzelheiten zum ktpass Syntax finden Sie unter Microsoft Ktpass Referenz.

Beispiel

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Einen SPN für den AX-Konnektor Dienst registrieren

Registrieren Sie einen SPN für den AX-Konnektor-Dienst mit Hilfe des setspn Befehls.

ClosedZeigen wie das geht
  1. Öffnen Sie auf dem Active Directory Domänencontroller Server ein Eingabaufforderungsfenster und gehen Sie zu dem Verzeichnis, in dem sich die Datei setspn.exe befindet.

    Der Standardpfad lautet C:\Programme\Support Tools.

  2. Um den SPN zu registrieren, geben Sie den folgenden setspn-Befehl ein: 
    setspn -A ACLSE/vollständiger_Domänen-_und_ServernameComputername

    Anmerkung

    ACLSE ist der benötigte Wert zur Identifizierung von AX-Konnektor und muss in Großbuchstaben eingegeben werden. Der Wert Computername kann als Name oder Domäne\Name eingegeben werden.

  3. Optional. Verwenden Sie den folgenden setspn-Befehl, um die Zuordnung zu verifizieren: 
    setspn -L Computername

Beispiel

setspn -A ACLSE/axserver.acl.com axserver

Die SPN-Kontozuordnung testen

Kopieren Sie optional die Keytab-Datei auf die AX-Server-Instanz, und verwenden Sie den Befehl kinit, um Ihre SPN-Kontozuordnung zu testen.

ClosedZeigen wie das geht

Voraussetzung: Fügen Sie das Unterverzeichnis bin von Java der Umgebungsvariable path hinzu, um den Befehl klist ohne Angabe des vollständigen Pfads verwenden zu können.

set PATH=java_bin_path;%PATH%
  1. Kopieren Sie auf dem Active Directory Domänencontroller Server die Datei .keytab, die Sie mit dem Befehl ktpass erstellt haben, in das Windows Verzeichnis auf dem AX Server.
  2. Erstellen Sie in dem Windows Verzeichnis des AX Servers eine Datei mit dem Namen krb5.ini.
  3. Verwenden Sie in einem Befehlseingabefenster den folgenden Befehl, um zu verifizieren, dass die Keytab-Datei gelesen werden kann: 
    klist -k
  4. Verwenden Sie den folgenden Befehl zur Authentifizierung: 
    kinit username@REALM.COM
  5. Geben Sie das Kennwort für den Anwender ein und drücken Sie die Eingabetaste.

Beispiel einer krb5.in-Datei

 [libdefaults] ticket_lifetime = 24000 default_realm = <domain> default_keytab_name = <path_to_keytab_file> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <domain> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.domain> = <DOMAIN> <domain> = <DOMAIN>

Integrierte Windows-Authentifizierung im Internet Explorer aktivieren

Aktivieren Sie die integrierte Windows Authentifizierung im Internet Explorer für die Desktop-Umgebung jedes Endanwenders. Benutzer müssen sich von einem Client-Betriebssystem aus anmelden. Die integrierte Windows-Authentifizierung wird nicht für Instanzen von AX Client unterstützt, die auf dem Betriebssystem des Servers ausgeführt werden.

ClosedZeigen wie das geht
  1. Klicken Sie im Microsoft Internet Explorer auf Extras > Internetoptionen > Erweitert.
  2. Unter der Gruppe Sicherheit wählen Sie Integrierte Windows Authentifizierung aktivieren und klicken Sie dann auf Anwenden.
  3. Klicken Sie auf die Registerkarte Sicherheit.
  4. Wählen Sie das Symbol Lokales Intranet und klicken Sie dann auf Sites.
  5. In dem Dialogfeld Lokales Intranet klicken Sie auf Erweitert, geben Sie HTTPS URL für Ihre AX Server Instanz ein und klicken Sie dann auf Hinzufügen.

    Beispiel: https://axserver.ax.com.

  6. Klicken Sie auf Schließen und dann in jedem offenen Dialogfeld auf OK bis das Dialogfeld Internetoptionen geschlossen wird. Starten Sie anschließend den Internet Explorer neu.

Ihre aktualisierten Einstellungen werden wirksam, sobald Sie den Internet Explorer erneut starten.