Integrierte Windows-Authentifizierung

Integrierte Windows-Authentifizierung (IWA) ermöglicht es Benutzern, sich nahtlos mit ihren Windows-Anmeldedaten zu authentifizieren. Diese Methode nutzt Protokolle wie NTLM (NT LAN Manager) oder Kerberos, um Benutzer zu authentifizieren, ohne dass sie ihre Anmeldedaten beim Zugriff auf Dienste oder Anwendungen innerhalb der Windows-Domäne erneut eingeben müssen.

MyQ X unterstützt die Authentifizierung über NTLM, wobei ein Challenge-Response-Mechanismus verwendet wird. Bei diesem Verfahren gibt der Benutzer eine gehashte Version seines Kennworts an, und der Server überprüft es, ohne das eigentliche Kennwort zu kennen.

Wenn Ihr Client-Computer zur Domäne gehört (z. B. bei einer Intranet-Anwendung), muss der Benutzer keine Anmeldedaten eingeben.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, um das IWA zu nutzen:

• Active Directory-Domänendienste (AD DS) sollte installiert und konfiguriert werden.

• Geräte und MyQ-Server müssen in der gleichen lokalen Domäne verbunden sein.

• Eine ordnungsgemäße DNS-Konfiguration ist entscheidend für die korrekte Auflösung von Domänennamen.

• Auf den Geräten läuft Windows.

• Die Benutzer müssen mit Active Directory synchronisiert werden und es als Authentifizierungsserver in MyQ verwenden.

Konfiguration

IWA ist in der Regel standardmäßig aktiviert und erfordert keine umfangreiche Konfiguration, es sei denn, es müssen bestimmte Sicherheitsrichtlinien durchgesetzt werden. Die Konfiguration wird in erster Linie über Gruppenrichtlinien und IIS verwaltet (wenn Sie Ihre Anwendungen ausführen; IIS ist für die Authentifizierung mit MyQ nicht erforderlich) und funktioniert in der Regel automatisch innerhalb einer ordnungsgemäß konfigurierten Domänenumgebung.

Auf den Clients muss sichergestellt werden, dass die Windows-Authentifizierung in den Webbrowsern aktiviert ist und dass der MyQ-Server als Intranet-Website im gleichen Ton wie die Client-Computer hinzugefügt wird.

Domänencontroller

• Die NTLM-Einstellungen können einfach über die Gruppenrichtlinie verwaltet werden. Öffnen Sie dazu die Group Policy Management Console (GPMC) und gehen Sie zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen. In diesem Abschnitt werden Sie verschiedene Richtlinien zu NTLM finden, darunter Netzwerksicherheit: LAN Manager-Authentifizierungsstufe.

• Bitte überprüfen Sie, ob diese Einstellungen Ihren Sicherheitsanforderungen entsprechen. Sie haben beispielsweise die Möglichkeit, die LAN Manager-Authentifizierungsebene so einzustellen, dass nur NTLMv2-Antworten zugelassen werden, was im Vergleich zu NTLMv1 eine sicherere Wahl ist.

Client-Konfiguration

Stellen Sie sicher, dass die Clients für die Verwendung der integrierten Windows-Authentifizierung (IWA) konfiguriert sind. Dies erfordert in der Regel die Konfiguration von Webbrowsern (wie Edge, Chrome oder Firefox), um die automatische Anmeldung mit dem aktuellen Benutzernamen und Kennwort für Intranetseiten zu aktivieren.

Microsoft Edge

• Internetoptionen → Erweitert → Sicherheit → Integrierte Windows-Authentifizierung aktivieren.

• Internetoptionen -> Sicherheit -> Lokales Intranet -> Sites -> Erweitert, fügen Sie hier die Intranetsites hinzu. Gehen Sie dann zu Benutzerdefinierte Ebene -> Benutzerauthentifizierung -> Anmeldung -> Automatische Anmeldung nur in Intranetzone.

Benutzer-Login-Erfahrung

Windows-Authentifizierung auf der MyQ-Webschnittstelle

Die Windows-Authentifizierung kann aktiviert werden in Einstellungen → Benutzerauthentifizierung. Sobald dies geschehen ist, wird eine neue Anmeldemethode auf dem Anmeldebildschirm angezeigt. Dadurch wird sichergestellt, dass Benutzer weiterhin andere Formen der Authentifizierung verwenden können, wenn IWA nicht auf sie zutrifft (z. B. Gastbenutzer, BYOD-Benutzer, *Admin-Konto).

Wenn die Windows-Authentifizierung für den Benutzer fehlschlägt, wird er zur Standardanmeldung zurückgeleitet und kann mit einer anderen Anmeldemethode fortfahren. Die Fehlermeldung Ungültige Berechtigungsnachweise wird angezeigt.

Windows-Authentifizierung im MyQ Desktop Client

Die Windows-Authentifizierung kann aktiviert werden in Einstellungen → MyQ Desktop Client für bestimmte Konfigurationsprofile. Auf diese Weise können Sie diese Option nur für bestimmte Computer aktivieren, während Sie auf anderen Computern die Standardanmeldung mit MyQ-Anmeldeinformationen oder über LDAP validierten Anmeldeinformationen gegen ein entferntes Benutzerverzeichnis (z. B. AD) auswählen.

Wenn die Windows-Authentifizierung für den Benutzer fehlschlägt, wird er zur Standardanmeldung zurückgeleitet und kann MyQ-Anmeldedaten eingeben oder sich mit Anmeldedaten anmelden, die über LDAP anhand eines entfernten Benutzerverzeichnisses (z. B. AD) überprüft wurden.

Ressourcen und Fehlerbehebung

• Integrierte Windows-Authentifizierung - Wikipedia

• Integrierte Windows-Authentifizierung | Microsoft Learn

• Aktivieren der NTLM 2-Authentifizierung - Windows-Client | Microsoft Learn

• Microsoft NTLM - Win32-Anwendungen | Microsoft Learn

• AD FS-Fehlerbehebung - Integrierte Windows-Authentifizierung | Microsoft Learn