Configurar la Autenticación de Windows integrada

Configure el servidor Controlador de Dominios de Active Directory, el Servidor de AX y el entorno de escritorio para cada usuario final de la aplicación cliente para la Autenticación de Windows integrada. La autenticación integrada de Windows permite el control de acceso de inicio de sesión único para los usuarios de AX Cliente.

Nota

La autenticación integrada de Windows no es compatible con instancias de AX Cliente que se ejecuten en el sistema operativo del servidor. Usted debe conectarse desde un sistema operativo cliente, de lo contrario la aplicación predeterminada es la autenticación basada en formularios.

Cómo funciona

La autenticación integrada de Windows utiliza las características de seguridad de los clientes y servidores Windows. No solicita a los usuarios un nombre de usuario y contraseña y la información actual del usuario de Windows en el equipo cliente es proporcionada por el explorador web a través de un intercambio criptográfico. Para administrar la autenticación se utilizan los siguientes protocolos:

Si el intercambio de autenticación inicialmente no puede identificar al usuario, el navegador web le solicitará al usuario un nombre de usuario y una contraseña de la cuenta de usuario de Windows.

Crear una cuenta SPN

Cree una nueva cuenta Nombre principal de servicio (SPN) de Windows en Active Directory para asociar el servicio de autenticación del Servidor de AX a una cuenta de Active Directory.

ClosedMuéstreme cómo
  1. En el servidor del Controlador de Dominios de Active Directory, haga clic en Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory.
  2. Haga clic en la entrada de dominio en la vista de árbol donde desea crear la nueva cuenta SPN y seleccione Nuevo > Usuario.
  3. Escriba la información requerida y haga clic en Siguiente.
  4. Configure la contraseña del usuario y haga clic en Siguiente:
    1. Ingrese la contraseña de la cuenta.
    2. Quite la marca de selección de El usuario debe cambiar la contraseña en el próximo inicio de sesión.
    3. Seleccione La contraseña nunca caduca.
  5. Haga clic en Finalizar.

Asignar el servicio de autenticación a la cuenta SPN

Asocie el servicio de autenticación del Servidor de AX a la cuenta de SPN de Active Directory usando el comando ktpass.

ClosedMuéstreme cómo
  1. En el servidor Controlador de dominios de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra ktpass.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para asignar el servicio de autenticación a la cuenta SPN, ingrese el siguiente comando keypass: 
    ktpass /out nombre_de_archivo /princ nombre /pass contraseña /mapuser nombre_de_usuario_local /ptype tipo_principal /crypto tipo_de_cifrado

Para la sintaxis de ktpass, consulte Referencia sobre Microsoft Ktpass.

Ejemplo

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Registre un SPN para el servicio Conector de AX

Registre un SPN para el servicio del Conector de AX usando el comando setspn.

ClosedMuéstreme cómo
  1. En el servidor Controlador de dominio de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra setspn.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para registrar el SPN, ingrese el siguiente comando setspn: 
    setspn -A ACLSE/dominio_completo_y_nombre_de_servidornombre_de_servidor

    Nota

    ACLSE es el valor necesario para identificar al Conector de AX y se debe ingresar todo en mayúsculas. El valor nombre_del_equipo se puede ingresar como nombre o dominio\nombre.

  3. Opcional. Para verificar la asociación de la cuenta SPN, use el siguiente comando setspn: 
    setspn -L nombre_de_computadora

Ejemplo

setspn -A ACLSE/axserver.acl.com axserver

Probar la asignación de la cuenta SPN

Opcionalmente copie el archivo de tabla de claves (keytab) para la instancia del Servidor de AX y utilice el comando kinit para probar la asignación de la cuenta SPN.

ClosedMuéstreme cómo

Prerrequisito: Agregue la subcarpeta bin de Java a la variable de entorno path para utilizar el comando keylist sin especificar la ruta completa.

set PATH=java_bin_path;%PATH%
  1. En el servidor del Controlador de Dominios de Active Directory, copie el archivo .keytab que creó con el comando ktpass y péguelo en el directorio de Windows del Servidor de AX.
  2. En el directorio de Windows del Servidor de AX, cree un archivo llamado krb5.ini.
  3. En el intérprete de comandos, use el siguiente comando para verificar que el archivo de pares de kerberos se pueda leer: 
    klist -k
  4. Para intentar autentificarlo, use el siguiente comando: 
    kinit nombre_de_usuario@REALM.COM
  5. Escriba la contraseña del usuario y presione Intro.

Archivo krb5.ini de ejemplo

 [libdefaults] ticket_lifetime = 24000 default_realm = <dominio> default_keytab_name = <ruta al archivo_keytab> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <dominio> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.dominio> = <DOMAIN> <dominio> = <DOMAIN>

Habilitar la Autenticación de Windows integrada desde Internet Explorer

Habilite la Autenticación de Windows integrada de Internet Explorer en cada entorno de escritorio de los usuarios finales. Los usuarios deben estar conectados desde un sistema operativo cliente, la autenticación integrada de Windows no es compatible con las instancias de AX Cliente que se ejecutan en el sistema operativo del servidor.

ClosedMuéstreme cómo
  1. En Microsoft Internet Explorer, haga clic en Herramientas > Opciones de Internet > Avanzado.
  2. En el grupo Seguridad, seleccione Habilitar Autenticación integrada de Windows y haga clic en Aplicar.
  3. Haga clic en la ficha Seguridad.
  4. Seleccione el icono Intranet local y después haga clic en Sitios.
  5. En el cuadro de diálogo Intranet Local, haga clic en Avanzado y luego ingrese la URL  HTTPS para su instancia del Servidor de AX y haga clic en Agregar.

    Ejemplo: https://axserver.ax.com.

  6. Haga clic en Cerrar, luego en Aceptar en cada cuadro de diálogo abierto, hasta que el cuadro de diálogo Opciones de Internet se cierre y se reinicie Internet Explorer.

La configuración actualizada tendrá efecto la próxima vez que se abra Internet Explorer.