Header überspringen
 

LDAP-Authentifizierung

Legen Sie diese Authentifizierung fest, wenn Sie den LDAP-Server verwenden, um Anwender zu authentifizieren, deren Konten sich auf dem LDAP-Server befinden. Anwender können nicht authentifiziert werden, wenn sich ihre Konten nicht auf dem LDAP-Server befinden. Das auf dem LDAP-Server gespeicherte Adressbuch kann auf das Gerät übertragen werden, wodurch die Anwenderauthentifizierung ohne vorherige Registrierung der individuellen Einstellungen im Adressbuch des Geräts möglich wird. Bei der Verwendung der LDAP-Authentifizierung wird empfohlen, die Kommunikation zwischen dem Gerät und dem LDAP-Server mit SSL zu verschlüsseln, um zu verhindern, dass die Passwortinformationen unverschlüsselt über das Netzwerk gesendet werden. Sie können beim LDAP-Server festlegen, ob SSL aktiviert werden soll. Dafür müssen Sie ein Serverzertifikat für den LDAP-Server erstellen. Einzelheiten zum Erstellen eines Serverzertifikats finden Sie auf Erstellen des Serverzertifikats. SSL-Einstellungen können in der LDAP-Servereinstellung angegeben werden.

Durch die Verwendung von Web Image Monitor können Sie die Funktion zur Prüfung der Vertrauenswürdigkeit des SSL-Servers aktivieren. Einzelheiten zur Festlegung der LDAP-Authentifizierung mithilfe von Web Image Monitor finden Sie in der Web Image Monitor-Hilfe.

Wenn Sie die Klartext-Authentifizierung auswählen, ist die vereinfachte LDAP-Authentifizierung aktiviert. Die vereinfachte Authentifizierung kann mit einem Anwenderattribut (wie cn oder uid) anstelle von DN durchgeführt werden.

Um Kerberos für LDAP-Authentifizierung zu aktivieren, muss zuvor ein Bereich registriert werden. Ein Bereich muss in Großbuchstaben konfiguriert werden. Informationen zum Registrieren von Bereichen finden Sie in Anschließen des Geräts/Systemeinstellungen.

Wichtig

  • Während der LDAP-Authentifizierung werden auf dem LDAP-Server registrierte Daten, z. B. E-Mail-Adresse des Anwenders, automatisch im Gerät registriert. Wenn Anwenderinformationen im Server geändert werden, werden die im Gerät registrierten Daten möglicherweise bei der Authentifizierung überschrieben.

  • Bei der LDAP-Authentifizierung können Sie keine Zugriffsbeschränkungen für auf dem Verzeichnisserver registrierte Gruppen festlegen.

  • Verwenden Sie keine japanischen, traditionellen chinesischen, vereinfachten chinesischen oder koreanischen Zweibyte-Zeichen bei der Eingabe des Login-Anwendernamens oder des Login-Passworts. Wenn Sie Zweibyte-Zeichen verwenden, können Sie sich nicht über den Web Image Monitor authentifizieren.

  • Wenn Active Directory bei der LDAP-Authentifizierung verwendet wird und Kerberos-Authentifizierung sowie SSL-Verschlüsselung gleichzeitig eingerichtet sind, können keine E-Mail-Adressen abgerufen werden.

  • Unter der LDAP-Authentifizierung können Anwender, die über keinen Account auf dem LDAP-Server verfügen, immer noch Zugang zum Server erlangen, wenn die "Anonyme Authentifizierung" in den LDAP-Servereinstellungen nicht auf "Verbieten" gesetzt ist.

  • Wenn der LDAP-Server mit Windows Active Directory konfiguriert wurde, kann "Anonyme Authentifizierung" verfügbar sein. Ist die Windows-Authentifizierung verfügbar, empfehlen wir, diese zu nutzen.

Funktionsanforderungen für LDAP-Authentifizierung

Für die Festlegung der LDAP-Authentifizierung müssen die folgenden Anforderungen erfüllt sein:

  • Konfigurieren Sie das Netzwerk so, dass das Gerät den LDAP-Server erkennen kann.

  • Wenn SSL verwendet wird, kann TLSv1 oder SSLv3 auf dem LDAP-Server ausgeführt werden.

  • Registrieren Sie den LDAP-Server für das Gerät.

  • Legen Sie zur Registrierung des LDAP-Servers die folgenden Einstellungen fest:

    • Servername

    • Suchbasis

    • Anschlussnummer

    • SSL-Kommunikation

    • Authentifizierung

      Wählen Sie entweder die Kerberos-, DIGEST- oder Klartext-Authentifizierung.

    • Anwendername

      Sie brauchen keinen Anwendernamen einzugeben, wenn der LDAP-Server die "Anonyme Authentifizierung" unterstützt.

    • Passwort

      Sie brauchen kein Passwort einzugeben, wenn der LDAP-Server die "Anonyme Authentifizierung" unterstützt.

Weitere Informationen zum Registrieren eines LADP-Servers finden Sie in Anschließen des Geräts/Systemeinstellungen.

Hinweis

  • Die zulässigen Zeichen, die für Login-Anwendernamen und -Passwörter verwendet werden können, finden Sie auf Verwendbare Zeichen für Anwendernamen und Passwörter.

  • Im einfachen Authentifizierungsmodus mit LDAP schlägt die Authentifizierung fehl, wenn kein Passwort angegeben wird. Um leere Passwörter zu nutzen, wenden Sie sich an Ihren Servicevertreter.

  • Beim ersten Zugriff eines nicht registrierten Anwenders auf das Gerät, nachdem die LDAP-Authentifizierung festgelegt wurde, wird der Anwender auf dem Gerät registriert und kann auf die während der LDAP-Authentifizierung unter "Verfügbare Funktionen" vorhandenen Funktionen zugreifen. Um die verfügbaren Funktionen für den jeweiligen Anwender einzuschränken, registrieren Sie den Anwender und entsprechende "Verfügbare Funktionen" im Adressbuch oder legen Sie "Verfügbare Funktionen" für den jeweiligen registrierten Anwender fest. Die Einstellung "Verfügbare Funktionen" wird aktiviert, wenn der Anwender anschließend auf das Gerät zugreift.

  • Die Übertragung von Daten zwischen dem Gerät und dem KDC-Server wird verschlüsselt, wenn die Kerberos-Authentifizierung aktiviert ist. Einzelheiten zum Festlegen der verschlüsselten Übertragung finden Sie unter Verschlüsselungseinstellung für die Kerberos-Authentifizierung.

Stellen Sie vor der Konfiguration des Geräts sicher, dass die Anwender-Authentifizierung unter der "Anwender-Authentifizierungsverwaltung" korrekt konfiguriert wurde.

1Melden Sie sich über das Bedienfeld als Geräteadministrator an.

2Drücken Sie [Systemeinstellungen].

3Drücken Sie [Administrator Tools].

4Drücken Sie auf [Pfeil-nach-untenWeiter].

5Drücken Sie [Anwender-Authentifizierungsverwaltung].

Abbildung Bedienfeld-Display

6Wählen Sie [LDAP-Auth.].

Wenn Sie die Anwender-Authentifizierung nicht aktivieren möchten, wählen Sie [Aus].

7Wählen Sie den LDAP-Server für die LDAP-Authentifizierung aus.

Abbildung Bedienfeld-Display

8Wählen Sie die Ebene für die "Drucker-Jobauthentif.".

Eine Beschreibung der Stufen der Druckjob-Authentifizierung finden Sie auf Druckjob-Authentifizierung.

Fahren Sie mit Schritt 12 fort, wenn Sie [Gesamt] oder [Einfach Alle)] ausgewählt haben.

Fahren Sie mit Schritt 9 fort, wenn Sie [Einfach (Einschrä.)] ausgewählt haben.

9Drücken Sie [Ändern] für "Einschränkungsbereich".

10Geben Sie den Bereich an, in dem die Option [Einfach (Einschrä.)] auf die "Druckerjob-Authentif." angewendet werden soll.

Abbildung Bedienfeld-Display

Sie können den IPv4-Adressbereich festlegen, für den diese Einstellung übernommen werden soll. Außerdem können Sie angeben, ob diese Einstellung für die USB-Schnittstelle gelten soll.

11Drücken Sie [Verlassen].

12Drücken Sie auf [Pfeil-nach-untenWeiter].

13Legen Sie unter “Verfügbare Funktionen” fest, welche der Gerätefunktionen zugelassen werden.

Abbildung Bedienfeld-Display

Die LDAP-Authentifizierung wird auf die ausgewählten Funktionen angewendet.

Anwender können nur die ausgewählten Funktionen verwenden.

Einzelheiten zum Festlegen der verfügbaren Funktionen für Einzelpersonen oder Gruppen finden Sie auf Beschränken der verfügbaren Funktionen.

14Drücken Sie für “Login-Namenseigensch.” auf [Ändern].

15Geben Sie das Login-Namensattribut ein und drücken Sie dann [OK].

Verwenden Sie die Login-Namenseigenschaft als Suchkriterium, um Informationen über einen authentifizierten Anwender abzurufen. Sie können einen Suchfilter basierend auf dem Login-Namensattribut einrichten, einen Anwender auswählen und die Anwenderdaten dann so vom LDAP-Server abrufen, dass sie in das Adressbuch des Geräts übertragen werden.

Um mehrere Login-Attribute festzulegen, unterteilen Sie diese durch ein Komma (,). Bei der Suche werden die Treffer für jeweils eines der Attribute oder für beide Attribute angezeigt.

Wenn Sie darüber hinaus ein Gleichheitszeichen (=) zwischen zwei Login-Attribute setzen (Beispiel: cn=abcde, uid=xyz), liefert die Suche nur Treffer, die mit den für die Attribute festgelegten Werten übereinstimmen. Diese Suchfunktion kann auch bei Festlegung der Klartext-Authentifizierung angewendet werden.

Wenn die Authentifizierung im DN-Format erfolgt, müssen die Login-Attribute nicht registriert werden.

Das Verfahren für die Auswahl des Anwendernamens hängt von der Serverumgebung ab. Überprüfen Sie die Serverumgebung und geben Sie den Anwendernamen entsprechend ein.

16Drücken Sie für “Einzelne Eigenschaft” auf [Ändern].

17Geben Sie die eindeutige Eigenschaft ein und drücken Sie dann [OK].

Legen Sie die eindeutige Eigenschaft am Gerät fest, sodass die Anwenderinformationen im LDAP-Server mit denen auf dem Gerät übereinstimmen. Wenn dann die am LDAP-Server registrierte eindeutige Eigenschaft eines Anwenders mit der eines am Gerät registrierten Anwenders übereinstimmt, werden die beiden Instanzen so behandelt, als würden sie auf denselben Anwender verweisen.

Sie können ein Attribut z. B. "Seriennummer" oder "UID" eingeben. Zusätzlich können Sie eine "cn" oder "Personalnummer" eingeben, vorausgesetzt, sie ist eindeutig. Wenn Sie die eindeutige Eigenschaft nicht festlegen, wird im Gerät ein Account mit denselben Anwenderinformationen aber einem anderen Login-Anwendernamen erstellt.

18Drücken Sie auf [OK].

19Melden Sie sich ab.

  • Beim Verwenden des Standard-Bedienfelds

    Drücken Sie auf die Taste [Login/Abmelden]. Eine Bestätigungsmeldung erscheint. Wenn Sie auf [Ja] drücken, werden Sie automatisch abgemeldet.

  • Beim Verwenden des Smart Operation Panel

    Drücken Sie [Abmelden]. Eine Bestätigungsmeldung erscheint. Wenn Sie auf [OK] klicken, werden Sie automatisch abgemeldet.