Autenticazione LDAP
Precedente
Specificare questo metodo di autenticazione quando si utilizza il server LDAP per autenticare gli utenti che hanno i loro account sul server LDAP. Gli utenti non possono essere autenticati se non hanno i loro account sul server LDAP. La rubrica memorizzata sul server LDAP può essere registrata sulla macchina, abilitando l'autenticazione utente senza dover prima usare la macchina per registrare le impostazioni individuali nella rubrica. Se si usa l'autenticazione LDAP, per impedire che le informazioni relative alle password siano inviate non crittografate attraverso la rete, si consiglia di crittografare la comunicazione fra la macchina e il server LDAP utilizzando il protocollo SSL. Sul server LDAP è possibile specificare se abilitare o meno il protocollo SSL. Per fare ciò, è necessario creare un certificato server per il server LDAP. Per informazioni dettagliate su come creare un certificato server, vedere Creazione del certificato del server. Le impostazioni SSL possono essere specificate nell'impostazione del server LDAP.
Utilizzando Monitoraggio Immagini Web, è possibile attivare una funzione per controllare che il server SSL è affidabile. Per maggiori dettagli su come specificare l'autenticazione LDAP usando Web Image Monitor, vedere la Guida di Web Image Monitor.
Se si seleziona l'autenticazione testo normale, viene abilitata l'autenticazione LDAP semplificata. L'autenticazione semplificata può essere eseguita con un attributo utente (quale cn, o uid), al posto del DN.
Per abilitare Kerberos per l'autenticazione LDAP, bisogna prima registrare un realm. Un realm deve essere configurato in lettere maiuscole. Per informazioni sulla registrazione di un realm, consultare Collegamento della macchina/Impostazioni di sistema.
Durante l'autenticazione LDAP, i dati registrati nel server LDAP, ad esempio l'indirizzo email dell'utente, vengono registrati automaticamente sulla macchina. Se l'informazione dell'utente sul server viene modificata, l'informazione registrata nella macchina può essere sovrascritta quando viene eseguita l'autenticazione.
Nell'autenticazione LDAP non è possibile specificare i limiti di accesso per gruppi registrati nel server directory.
Non utilizzare un nome utente o una password che contengono caratteri a doppio byte giapponesi, cinesi (tradizionale e semplificato) o hangul. Se si utilizzano caratteri a byte multiplo per il nome utente o la password, non potrà essere eseguita l'autenticazione tramite Web Image Monitor.
Se nell'autenticazione LDAP viene utilizzato Active Directory, con autenticazione Kerberos e SSL impostati contemporaneamente, non è possibile ottenere gli indirizzi e-mail.
Con l'autenticazione LDAP, se l'"Autenticazione anonima" non è impostata su Vieta nelle impostazioni del server LDAP, gli utenti che non dispongono di un account per il server LDAP potrebbero comunque ottenere l'accesso.
Se il server LDAP è configurato mediante Active Directory di Windows, l'"Autenticazione anonima" potrebbe essere disponibile. Se è disponibile l'autenticazione Windows, si consiglia di utilizzarla.
Requisiti operativi per l'autenticazione LDAP
Per specificare l'autenticazione LDAP, devono essere soddisfatti i seguenti requisiti:
Configurare la rete in modo che la macchina possa rilevare il server LDAP.
Quando si utilizza SSL, sul server LDAP possono funzionare TLSv1 o SSLv3.
Registrare il server LDAP nella macchina.
Per registrare il server LDAP, è necessario specificare le seguenti impostazioni:
Nome server
Base ricerca
Numero porta
Comunicazione SSL
Autenticazione
Selezionare l'autenticazione Kerberos, DIGEST, o Testo normale.
Nome utente
Non è necessario inserire il nome utente se il server LDAP supporta l'"Autenticazione anonima".
Password
Se il server LDAP supporta l'autenticazione anonima, non è necessario inserire la password.
Per informazioni sulla registrazione del server LDAP, vedere Collegamento della macchina/Impostazioni di sistema.
Per informazioni su quali caratteri possono essere utilizzati per i nomi utente e le password di login, vedere Caratteri utilizzabili per nomi utente e password.
Nella modalità autenticazione semplice LDAP, se la password viene lasciata in bianco, l'autenticazione non riesce. Per utilizzare password vuote, contattare l'assistenza.
La prima volta che un utente non registrato accede alla macchina dopo che è stata specificata l'autenticazione LDAP, l'utente è registrato nella macchina e può utilizzare le funzioni disponibili alla voce "Funzioni disponibili" durante l'autenticazione LDAP. Per limitare le funzioni disponibili per ogni utente, registrare nella rubrica ogni utente e le impostazioni di "Funzioni disponibili" corrispondenti o specificare le "Funzioni disponibili" per ogni utente. Le impostazioni di "Funzioni disponibili" vengono attivate quando l'utente accede successivamente alla macchina.
Se l'autenticazione Kerberos è abilitata, i dati trasmessi dalla macchina al server KDC e viceversa vengono crittografati. Per informazioni su come specificare la trasmissione crittografata, vedere Impostazione di crittografia dell'autenticazione Kerberos.
Prima di configurare la macchina, controllare che l'autenticazione amministratore sia correttamente configurata in "Gestione autenticazione amministratore".
Autenticarsi come amministratore macchina tramite il pannello di controllo.
Premere [Impostazioni di Sistema].
Premere [Strumenti amministr.].
Premere [
Succ.].
Premere [Gestione autenticazione utente].
Selezionare [Autentic.LDAP].
Se non si desidera attivare l'autenticazione utente, selezionare [Disattivo].
Selezionare il server LDAP da usare per l'autenticazione LDAP.
Selezionare il livello di "Autent.lavori di stampa".
Per informazioni sui livelli di autenticazione del lavoro di stampa, vedere Autenticazione lavoro stampante.
Se si seleziona [Tutto] o [Semplice (Tutti)], procedere al punto 12.
Se si seleziona [Semplice (Limit.)], passare al punto 9.
Premere [Cambia] per "Intervallo di limitazione".
Specificare l'intervallo in cui [Semplice (Limit.)] viene applicato a "Autent.lavori di stampa".
È possibile specificare un intervallo di indirizzi IPv4 per l'applicazione dell'impostazione. È inoltre possibile specificare se l'impostazione deve essere applicata all'interfaccia USB.
Premere [Esci].
Premere [Succ.].
In “Funzioni disponibili” selezionare le funzioni della macchina che si desidera autorizzare.
L'Autenticazione LDAP sarà applicata alle funzioni selezionate.
Gli utenti possono utilizzare solo le funzioni selezionate.
Per informazioni su come specificare le funzioni disponibili per utenti singoli o gruppi, vedere Limitazione delle funzioni disponibili.
Premere [Cambia] per “Attributo nome login”.
Inserire l'attributo nome login e premere [OK].
Usare l'attributo nome login come criterio di ricerca per ottenere informazioni su un utente autenticato. È possibile creare un filtro di ricerca basato sull'attributo nome login, selezionare un utente, quindi recuperare le informazioni sull'utente dal server LDAP in modo che vengano trasferite alla rubrica della macchina.
Per specificare attributi di login multipli, separarli con una virgola (,). La ricerca restituirà delle risposte per uno o per entrambi gli attributi.
Inoltre, se si inserisce un segno di uguale (=) fra due attributi login (per esempio: cn=abcde, uid=xyz), la ricerca restituirà solo risposte corrispondenti agli attributi. Questa funzione di ricerca può essere applicata anche quando è specificata l'autenticazione Cleartext.
In caso di autenticazione con il formato DN, non è necessario registrare gli attributi di login.
Il metodo di selezione del nome dell'utente dipende dall'ambiente del server. Verificare l'ambiente del server ed immettere il nome dell'utente di conseguenza.
Premere [Cambia] per “Attributo unico”.
Inserire l'attributo unico e premere [OK].
Specificare l'attributo unico sulla macchina per far corrispondere le informazioni utente nel server LDAP a quelle nella macchina. In questo modo, se l'attributo unico di un utente registrato nel server LDAP corrisponde a quello di un utente registrato nella macchina, le due voci si considerano riferite allo stesso utente.
Si possono inserire attributi come "serialNumber" oppure "uid". Inoltre, si può anche inserire "cn" o "employeeNumber", sempre che sia unico. Se l'attributo unico non viene specificato, nella macchina sarà creato un account con le stesse informazioni utente ma con un diverso nome utente login.
Premere [OK].
Effettuare il logout.
Quando si usa il pannello operativo standard
Premere il tasto [Login/Logout]. Appare un messaggio di conferma. Facendo clic su [Sì], viene effettuato automaticamente il logout.
Quando si usa Smart Operation Panel
Premere [Logout]. Appare un messaggio di conferma. Facendo clic su [OK], viene effettuato automaticamente il logout.
