配置完整的 Windows 验证

为每个客户端应用程序终端用户设置 Active Directory Domain Controller 服务器、AX 服务器和桌面环境以配置集成 Windows 验证。集成 Windows 身份验证允许 AX 客户端用户启用单点登录访问控制。

说明

在服务器操作系统上运行的 AX 客户端实例不支持集成 Windows 身份验证。您必须从客户端操作系统进行连接,否则应用程序默认使用基于表单的身份验证。

工作原理

集成 Windows 身份验证使用 Windows 客户端和服务器的安全功能。它不提示用户输入用户名和密码,并且客户端计算机上的当前 Windows 用户信息由 Web 浏览器通过加密交换提供。以下协议用于管理身份验证:

如果身份验证交换开始时无法识别用户,则 Web 浏览器将提示用户输入 Windows 用户帐户的用户名和密码。

创建 SPN 帐户

在 Active Directory 中创建一个新的 Windows 服务主体名称 (SPN) 帐户,将 AX 服务器验证映射到一个 Active Directory 帐户。

Closed告诉我怎么做
  1. 在 Active Directory Domain Controller 服务器上,单击启动 > 所有程序> 管理工具 > Active Directory 用户和计算机
  2. 在您想要创建新 SPN 帐户的树状视图中右键单击域条目,选择新建 > 用户
  3. 输入所需的信息,然后单击下一步
  4. 输入必要的用户信息,然后单击下一步
    1. 输入帐户密码。
    2. 取消选择用户必须在下一次登录时更改密码
    3. 选择密码永不过期
  5. 单击完成

将验证服务映射到 SPN 帐户

使用 ktpass 命令将 AX 服务器验证服务映射到 Active Directory SPN 帐户。

Closed告诉我怎么做
  1. 在 Active Directory Domain Controller 服务器上,打开命令提示并将目录更改为 ktpass.exe 所在的目录。

    默认位置是 c:\Program Files\Support Tools

  2. 要将验证服务映射到 SPN 帐户,输入如下 keypass 命令:
    ktpass /out filename /princ name /pass password /mapuser local_username /ptype principal_type /crypto encryption_type

要了解 ktpass 语法,请参考 Microsoft Ktpass 参考

示例

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

添加 AX 连接器服务的 SPN

使用 setspn 命令注册 AX 连接器服务的 SPN。

Closed告诉我怎么做
  1. 在 Active Directory Domain Controller 服务器上,打开命令提示并将目录修改为 setspn.exe 所在的目录。

    默认位置是 c:\Program Files\Support Tools

  2. 要注册 SPN,请输入如下 setspn 命令:
    setspn -A ACLSE/full_domain_and_servername computer_name

    说明

    ACLSE 是标识 AX 连接器所需的值,并且在输入时必须全部大写。computer_name 值可以输入为名称域\名

  3. 可选。要验证 SPN  帐号的映射,使用如下 setspn 命令:
    setspn -L computer_name

示例

setspn -A ACLSE/axserver.acl.com axserver

测试 SPN 帐户映射

您还可以将 keytab 文件复制到 AX 服务器实例,然后使用 kinit 命令来测试您的 SPN 帐户映射。

Closed告诉我怎么做

先决条件:将 Java bin 子文件夹添加到您的路径环境变量,以使用 klist 命令而无需指定完整路径。

set PATH=java_bin_path;%PATH%
  1. 在 Active Directory Domain Controller 服务器上,复制您使用 ktpass 命令创建的 .keytab 文件,并将其粘贴到 AX 服务器的 Windows 目录中。
  2. 在 AX 服务器的 Windows 目录中,创建一个名为 krb5.ini 的文件。
  3. 从命令提示符,使用如下命令验证是否可以读取 keytab 文件:
    klist -k
  4. 要尝试进行验证,使用如下命令:
    kinit username@REALM.COM
  5. 输入用户密码并按回车键

krb5.ini 文件示例

 [libdefaults] ticket_lifetime = 24000 default_realm = <域> default_keytab_name = <keytab 文件的路径> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <域> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.domain> = <域> <domain> = <域>

从 Internet Explorer 启用集成式 Windows 验证

在每个终端用户桌面环境中,从 Internet Explorer 启用集成 Windows 验证。用户必须从客户端操作系统进行连接,在服务器操作系统上运行的 AX 客户端实例不支持集成 Windows 身份验证。

Closed告诉我怎么做
  1. 在 Microsoft Internet Explorer 中,单击工具 > Internet 选项 > 高级
  2. 安全组中,选择启用集成 Windows 验证,然后单击应用
  3. 然后单击安全选项卡。
  4. 选择本地内部网图标,然后单击站点
  5. 本地 Intranet对话框中,单击高级,然后输入您的 AX 服务器实例的 HTTPS URL,并单击添加

    示例:https://axserver.ax.com

  6. 单击关闭,在每个打开的对话框中单击确定直到 Internet 选项对话框关闭并重启 Internet Explorer。

下次启动 Internet Explorer 时,更新的设置会生效。