Пред.
Задайте этот метод аутентификации при использовании сервера LDAP для аутентификации пользователей, которые имеют свои учетные записи на сервере LDAP. Аутентификация пользователей, не имеющих учетных записей на сервере LDAP, невозможна. Адресная книга, сохраненная на сервере LDAP, может быть зарегистрирована на аппарате, что позволяет выполнять аутентификацию пользователей без предварительной регистрации индивидуальных настроек в адресной книге. Для предотвращения незашифрованной отправки данных пароля по сети при использовании аутентификации LDAP рекомендуется зашифровать соединение между аппаратом и сервером LDAP с помощью SSL. На сервере LDAP можно указать необходимость активации шифрования SSL. Для этого необходимо создать сертификат сервера для сервера LDAP. Для получения сведений о создании сертификата сервера см. Создание сертификата серверов. Параметры SSL можно указать в настройке сервера LDAP.
С помощью Web Image Monitor можно включить функцию проверки надежности сервера SSL. Для получения подробных сведений о настройке аутентификации LDAP с помощью Web Image Monitor см. справку по Web Image Monitor.
Если выбрана аутентификация Cleartext, то включается упрощенная аутентификация LDAP. Упрощенная аутентификация может быть выполнена с использованием атрибута пользователя (такого как "cn" или "uid") вместо DN.
Чтобы включить аутентификацию Kerberos для LDAP, нужно заранее зарегистрировать область. Область должна быть настроена с использованием заглавных букв. Для получения подробных сведений о регистрации области действия см. руководство "Подсоединение аппарата/Настройки системы".
При использовании аутентификации LDAP хранящаяся на сервере пользовательская информация автоматически записывается в адресную книгу аппарата. Даже если автоматически зарегистрированная в адресной книге аппарата пользовательская информация редактируется с помощью аппарата, она все равно заменяется информацией с сервера LDAP при выполнении аутентификации.
При аутентификации LDAP нельзя указать границы доступа для групп, зарегистрированных на сервере каталогов.
Нельзя использовать двухбайтовые символы японского, традиционного и упрощенного китайского или корейского языка хангул при вводе имени регистрации пользователя или пароля. При использовании двухбайтовых символов нельзя выполнить аутентификацию с помощью Web Image Monitor.
Если при аутентификации LDAP используется Active Directory с одновременной установкой аутентификации Kerberos и SSL, получение пользовательской информации невозможно.
При аутентификации LDAP, если установка "Анонимная аутентификация" на сервере LDAP не установлена на запрет, пользователи, не имеющие учетной записи на сервере LDAP, могут получить доступ к серверу.
Если сервер LDAP сконфигурирована с использование активного каталога Windows, то может быть доступна "Анонимная аутентификация". Если доступна аутентификация Windows, то рекомендуется пользоваться ею.
Системные требования для LDAP аутентификации
Настройка аутентификации LDAP требует соблюдения следующих требований:
Настройка сети для возможности обнаружения сервера LDAP аппаратом.
Если используется SSL, на сервере LDAP может работать TLSv1 или SSLv3.
Регистрация сервера LDAP для аппарата.
Для регистрации сервера LDAP укажите следующие параметры:
Имя сервера
Поиск в базе
Номер порта
SSL-связь
Аутентификация
Выберите аутентификацию Kerberos, DIGEST или Cleartext (незашифрованный текст).
Имя пользователя
Если сервер LDAP поддерживает функцию "Анонимная аутентификация", то ввод имени пользователя не требуется.
Пароль
Если сервер LDAP поддерживает функцию "Анонимная аутентификация", то ввод пароля не требуется.
Для получения подробных сведений о регистрации сервера LADP см. руководство "Подсоединение аппарата/Настройки системы".
Для получения сведений о символах, которые можно использовать при указании имени пользователя и пароля, см. Символы, которые можно использовать при вводе имени пользователя и пароля.
В режиме упрощенной аутентификации LDAP проверка подлинности завершится ошибкой, если оставить поле пароля пустым. Для использования пустого поля пароля обратитесь к представителю сервисной службы.
При первом доступе незарегистрированного пользователя к устройству после установки аутентификации LDAP пользователь регистрируется на устройстве и может использовать функции, доступные в блоке "Доступные функции" во время аутентификации LDAP. Для ограничения функций, доступных для каждого пользователя, зарегистрируйте в адресной книге каждого пользователя и соответствующую настройку "Доступные функции" или укажите "Доступные функции" для каждого зарегистрированного пользователя. Установка "Доступные функции" вступает в силу при последующем доступе пользователя к устройству.
Если включена аутентификация Kerberos, данные, передаваемые между аппаратом и сервером KDC, шифруются. Для получения сведений об установке шифрования передаваемых данных см. Настройка шифрования для аутентификации Kerberos.
Перед началом настройки аппарата убедитесь в том, что аутентификация администратора правильно настроена в блоке "Управление аутентификацией администратора".
Войдите в систему с панели управления в качестве администратора аппарата.
Нажмите [Параметры системы].
Нажмите [Инстр.адм.].
Нажмите [
След.].
Нажмите [Управление аутентификацией пользователя].
Выберите [Аутент.LDAP].
Если нужно выключить управление аутентификацией пользователя, выберите [Выкл.].
Выберите сервер LDAP, который будет использоваться для аутентификации LDAP.
Выберите уровень "Аутент.здн.на печ.".
Для изучения описания уровней аутентификации заданий принтера см. Аутентификация заданий на печать.
Если выбран вариант [Полностью] или [Простая (Все)], переходите к шагу 12.
Если выбран вариант [Простая (Огр.)], перейдите к шагу 9.
Выберите [Изменить] для "Диапазон ограничения".
Укажите диапазон, в котором к параметру "Аутент.здн.на печ." применяется значение [Простая (Огр.)].
Вы можете указать диапазон адресов IPv4, к которым будет применен данный параметр. Кроме того, можно указать, применять ли параметр к USB-интерфейсу.
Нажмите [Выход].
Нажмите [След.].
В разделе "Доступные функции" выберите функции аппарата, доступ к которым следует разрешить.
К указанным функциям будет применяться аутентификация LDAP.
Пользователи могут использовать только выбранные функции.
Для получения подробных сведений о настройке доступных функций для пользователей или групп см. Ограничение доступных функций.
Нажмите [Изменить] в пункте "Атр.имени логина".
Введите атрибут имени логина, а затем нажмите [OK].
Атрибут имени логина можно использовать в качестве критерия поиска для получения данных об аутентифицированном пользователе. Вы можете создать поисковый фильтр на основе атрибута для имени пользователя, выбрать пользователя, а затем извлечь информацию о пользователе с сервера LDAP, чтобы перенести ее в адресную книгу аппарата.
Для указания нескольких атрибутов логина поставьте запятую (,) между ними. При поиске будут выявлены совпадения внесенного логина со всеми атрибутами.
Также, если вы поставите знак равенства (=) между двумя атрибутами логина (например: cn=abcde, uid=xyz), при поиске будут найдены только совпадения, соответствующие атрибутам. Эта функция поиска может также быть применена при использовании аутентификации Cleartext.
При аутентификации с использованием формата DN нет необходимости в регистрации атрибутов логина.
Метод выбора имени пользователя зависит от среды сервера. Проверьте среду сервера и введите имя пользователя соответственно.
Нажмите [Изменить] в пункте "Уникальный атрибут".
Введите уникальный атрибут и нажмите [OK].
Укажите уникальный атрибут в аппарате, чтобы информация о пользователе на сервере LDAP соответствовала информации в аппарате. Таким образом, если уникальный атрибут пользователя, зарегистрированный на сервере LDAP, соответствует атрибуту пользователя, зарегистрированному в аппарате, оба они считаются относящимися к одному и тому же пользователю.
Вы можете ввести такой атрибут как "serialNumber" или "uid". Кроме того, можно ввести "cn" или "employeeNumber", при условии их уникальности. Если не указать уникальный атрибут, в аппарате будет создана учетная запись с той же информацией о пользователе, но с другим именем пользователя.
Нажмите [OK].
Нажмите клавишу [Вход в систему/Выход из системы].
Появится сообщение с подтверждением. Если нажать клавишу [Да], будет выполнен автоматический выход из системы.
