LDAP-autentisering
Föregående
Ange den här autentiseringsmetoden när du använder LDAP-servern för att autentisera användare som har sina konton på LDAP-servern. Användare kan inte autentiseras om de inte har sina konton på LDAP-servern. Adressboken som finns lagrad på LDAP-servern kan registreras på maskinen, så att man kan autentisera användare utan att först använda maskinen för att registrera individuella inställningar i adressboken. När LDAP-autentisering används rekommenderas att man använder SSL för att kryptera kommunikationen mellan maskinen och LDAP-servern, för att på så sätt förhindra att lösenordsinformationen skickas okrypterad över nätverket. Du kan ange på LDAP-servern om du vill eller inte vill aktivera SSL. För att göra det måste du skapa ett servercertfikat för LDAP-servern. För mer information om hur du skapar ett servercertifikat, se Skapa servercertifikat.. SSL-inställningar kan anges i LDAP-serverinställningarna.
Genom att använda Web Image Monitor kan du aktivera en funktion som kontrollerar att SSL-servern är betrodd. För mer om hur du ställer in LDAP-autentisering med Web Image Monitor, se hjälp för Web Image Monitor.
När du väljer okrypterad autentisering aktiveras förenklad LDAP-autentisering. Förenklad autentisering kan utföras med ett användarattribut (som t.ex. cn eller uid) i stället för DN.
För att aktivera Kerberos för LDAP-autentisering måste en realm först registreras. En realm måste konfigureras med versaler. För mer information om hur du registrerar en realm, se Anslut maskinen/Systeminställningar.
Om du använder LDAP-autentisering registreras användarinformation på LDAP-servern automatiskt i maskinens adressbok, t.ex. användarens e-postadress. Även om användarinformationen som registreras automatiskt i maskinens adressbok redigeras i maskinen, så skrivs den över av informationen från LDAP-servern när autentiseringen utförs.
Vid LDAP-autentisering kan du inte ange åtkomstbegränsning för grupper som har registrerats i katalogservern.
Undvik dubbelbytetecken som japanska, kinesiska (traditionella och förenklade) och hangultecken vid inloggning eller som lösenord. Om du använder dubbelbytetecken kan du inte autentisera med Web Image Monitor.
E-postadresser kan inte hämtas om du använder Active Directory i LDAP-autentisering när Kerberos-autentisering och SSL är inställda samtidigt.
Om "Anonym autentisering" i inställningarna för LDAP-servern under LDAP-autentisering inte är inställd på Förbjud, kan användare som inte har ett LDAP-serverkonto få åtkomst till servern.
Om LDAP-servern är konfigurerad med Windows Active Directory kan det hända att "Anonym autentisering" är tillgänglig. Om Windows-autentisering är tillgängligt rekommenderar vi att du använder den.
Driftskrav för LDAP-autentisering
För att ange LDAP-autentisering ska följande krav uppfyllas:
Konfigurera nätverket så att maskinen kan upptäcka LDAP-servern.
När SSL används kan TLSv1 eller SSLv3 köras på LDAP-servern.
Registrera LDAP-servern till maskinen.
För att registrera LDAP-servern anger du följande inställningar:
Servernamn
Sökbas
Portnummer
SSL-kommunikation
Autentisering
Välj antingen Kerberos, DIGEST eller okrypterad autentisering (klartext).
Användarnamn
Du behöver inte ange användarnamn om LDAP-servern stöder "Anonym autentisering".
Lösenord
Du behöver inte ange lösenord om LDAP-servern stöder "Anonym autentisering".
För mer information om hur du registrerar en LDAP-server, se Anslut maskinen/Systeminställningar.
För vilka tecken som kan användas för användarnamn och lösenord, se Tecken som kan användas för användarnamn och lösenord.
I enkelt LDAP-autentiseringsläge misslyckas autentiseringen om lösenordet är tomt. För att använda tomma lösenord, kontakta din servicerepresentant.
Första gången som en oregistrerad användare får åtkomst till maskinen efter att LDAP-autentisering har angivits registreras denna användare på maskinen och får åtkomst till de funktioner som finns under "Tillgängliga funktioner" under LDAP-autentisering. Om du vill begränsa tillgängliga funktioner för olika användare kan du registrera varje användare och motsvarande inställning för "Tillgängliga funktioner" i adressboken eller ange "Tillgängliga funktioner" för varje registrerad användare. Inställningen "Tillgängliga funktioner" aktiveras så snart användaren loggar in på maskinen.
Överföring av data mellan maskinen och KDC-servern är krypterad om Kerberos-autentisering är aktiverad. För mer information om hur du anger krypterad överföring, se Krypteringsinställningar för Kerberos-autentisering.
Innan du konfigurerar maskinen ska du kontrollera att administratörsautentiseringen är korrekt konfigurerad under "Hantering av administratörsautentisering".
Logga in som maskinadministratör via kontrollpanelen.
Tryck på [Systeminställning].
Tryck på [Admin.verktyg].
Tryck på [
Nästa].
Tryck på [Hantering av användarautentisering].
Välj [LDAP-autent.].
Om du inte vill aktivera användarautentisering väljer du [Av].
Välj LDAP-servern som ska användas för LDAP-autentisering.
Välj nivån "Utskriftsjobbsautent.".
En beskrivning av autentiseringsnivåer för utskriftsjobb finns här Autentisering av utskriftsjobb.
Om du väljer [Hela] eller [Enkel (hela)] så fortsätter du till steg 12.
Om du väljer [Enkel (begränsning)] så fortsätter du till steg 9.
Tryck på [Ändra] vid "Begränsat område".
Ange inom vilket intervall [Enkel (Begränsning)] ska tillämpas för "Utskriftsjobbsautent.".
Du kan ange ett intervall av IPv4-adresser som denna inställning ska gälla för. Du kan även ange om inställningen ska gälla för USB-gränssnittet.
Tryck på [Avsluta].
Tryck på [Nästa].
I “Tillgängliga funktioner” väljer du vilka maskinfunktioner du vill tillåta.
Om den funktion du vill välja inte visas, tryck på [Nästa].
LDAP-autentisering tillämpas på de valda funktionerna.
Användare kan endast använda de valda funktionerna.
För mer information om hur man anger tillgängliga funktioner för användare eller grupper, se Begränsa Tillgängliga funktioner.
Tryck på [Nästa].
Tryck på [Ändra] för “Attr. f. inloggningsnamn”.
Ange användarnamnets attribut och tryck sedan på [OK].
Använd inloggningsnamnattributet som ett sökvillkor för att få information om en autentiserad användare. Du kan skapa ett sökfilter baserat på attribut för inloggningsnamn, välja en användare och sedan hämta användarinformationen från LDAP-servern så att den överförs till maskinens adressbok.
För att ange flera inloggningsattribut, sätt ett komma (,) mellan dem. Sökningen visar träffar för ett eller båda attributen.
Om du placerar ett likhetstecken (=) mellan två inloggningsattribut (t.ex. cn=abcde, uid=xyz) ger sökningen bara träffar som matchar attributen. Denna sökfunktion kan även tillämpas när okrypterad autentisering anges.
Vid autentisering med DN-format, behöver inte inloggningsattribut registreras.
Metoden för hur du väljer användarnamn beror på servermiljön. Kolla upp servermiljön och ange sedan användarnamnet på rätt sätt.
Tryck på [Ändra] för “Unikt attribut”.
Ange unikt attribut och tryck sedan på [OK].
Ange unikt attribut på maskinen om du vill matcha användarinformationen i LDAP-servern med den i maskinen. Om det unika attributet för en användare registrerad i LDAP-servern matchar det för en användare registrerad i maskinen, betraktas de två attributen som samma användare.
Du kan ange ett attribut som "serienummer" eller "uid". Dessutom kan du ange "cn" eller "anställnNummer", förutsatt att det är unikt. Om du inte anger det unika attributet, skapas ett konto med samma användarinformation men med ett annat användarnamn för inloggning på maskinen.
Tryck på [OK].
Tryck på [Nästa] två gånger.
Tryck på [Appautentiseringshantering].
Ange om varje funktion ska kräva autentisering eller inte.
Du kan använda funktionen utan att logga in om du väljer [Av] för en funktion.
Tryck på [OK].
Tryck på [Utlogg.].
