Пропустить заголовок
 

LDAP аутентификация

Задайте этот метод аутентификации при использовании сервера LDAP для аутентификации пользователей, у которых есть учетные записи на сервере LDAP. Аутентификация пользователей, не имеющих учетных записей на сервере LDAP, невозможна. Адресная книга, сохраненная на сервере LDAP, может быть зарегистрирована на аппарате, что позволяет выполнять аутентификацию пользователей без предварительной регистрации индивидуальных настроек в адресной книге. Для предотвращения незашифрованной отправки данных пароля по сети при использовании аутентификации LDAP рекомендуется зашифровать соединение между аппаратом и сервером LDAP с помощью SSL. На сервере LDAP можно указать необходимость активации шифрования SSL. Для этого необходимо создать сертификат сервера для сервера LDAP. Для получения сведений о создании сертификата сервера см. Создание сертификата серверов. Параметры SSL можно указать в настройке сервера LDAP.

С помощью Web Image Monitor можно включить функцию проверки надежности сервера SSL. Для получения подробных сведений о настройке аутентификации LDAP с помощью Web Image Monitor см. справку по Web Image Monitor.

Если выбрана аутентификация Cleartext, то включается упрощенная аутентификация LDAP. Упрощенная аутентификация может быть выполнена с использованием атрибута пользователя (такого как "cn" или "uid") вместо DN.

Чтобы включить аутентификацию Kerberos для LDAP, нужно заранее зарегистрировать область. Область должна быть настроена с использованием заглавных букв. Для получения сведений о регистрации области см. руководство "Подсоединение аппарата/Настройки системы".

Важно

  • При использовании аутентификации LDAP хранящаяся на сервере LDAP пользовательская информация, такая как адрес электронной почты пользователя, автоматически записывается в адресную книгу аппарата. Даже если автоматически зарегистрированная в адресной книге аппарата пользовательская информация редактируется с помощью аппарата, она все равно заменяется информацией с сервера LDAP при выполнении аутентификации.

  • При аутентификации LDAP нельзя указать границы доступа для групп, зарегистрированных на сервере каталогов.

  • Нельзя использовать двухбайтовые символы японского, традиционного и упрощенного китайского или корейского языка хангул при вводе имени регистрации пользователя или пароля. При использовании двухбайтовых символов нельзя выполнить аутентификацию с помощью Web Image Monitor.

  • Если при аутентификации LDAP используется Active Directory с одновременной установкой аутентификации Kerberos и SSL, получение адреса электронной почты невозможно.

  • При аутентификации LDAP, если установка "Анонимная аутентификация" на сервере LDAP не установлена на запрет, пользователи, не имеющие учетной записи на сервере LDAP, могут получить доступ к серверу.

  • Если сервер LDAP сконфигурирован с использование активного каталога Windows, может быть доступна "Анонимная аутентификация". Если доступна аутентификация Windows, рекомендуется использовать ее.

Системные требования для LDAP аутентификации

Настройка аутентификации LDAP требует соблюдения следующих требований:

  • Настройка сети для возможности обнаружения сервера LDAP аппаратом.

  • Если используется SSL, на сервере LDAP может работать TLSv1 или SSLv3.

  • Регистрация сервера LDAP для аппарата.

  • Для регистрации сервера LDAP укажите следующие параметры:

    • Имя сервера

    • Поиск в базе

    • Номер порта

    • SSL-связь

    • Аутентификация

      Выберите аутентификацию Kerberos, DIGEST или Cleartext (незашифрованный текст).

    • Имя пользов.

      Если сервер LDAP поддерживает функцию "Анонимная аутентификация", то ввод имени пользователя не требуется.

    • Пароль

      Если сервер LDAP поддерживает функцию "Анонимная аутентификация", то ввод пароля не требуется.

Для получения сведений о регистрации сервера LADP см. руководство "Подсоединение аппарата/Настройки системы".

Примечание

  • Для получения сведений о символах, допустимых при вводе имени пользователя и пароля, см. Символы, которые можно использовать при вводе имени пользователя и пароля.

  • В режиме упрощенной аутентификации LDAP проверка подлинности завершится ошибкой, если оставить поле пароля пустым. Для использования пустого поля пароля обратитесь к представителю сервисной службы.

  • При первом доступе незарегистрированного пользователя к устройству после установки аутентификации LDAP пользователь регистрируется на устройстве и может использовать функции, доступные в блоке "Доступные функции" во время аутентификации LDAP. Для ограничения функций, доступных для каждого пользователя, зарегистрируйте в адресной книге каждого пользователя и соответствующую настройку "Доступные функции" или укажите "Доступные функции" для каждого зарегистрированного пользователя. Установка "Доступные функции" вступает в силу при последующем доступе пользователя к устройству.

  • Если включена аутентификация Kerberos, данные, передаваемые между аппаратом и сервером KDC, шифруются. Для получения сведений о настройке шифрования передаваемых данных см. Настройка шифрования для аутентификации Kerberos.

Перед началом настройки аппарата убедитесь в том, что аутентификация администратора правильно настроена в блоке "Управление аутентификацией администратора".

1Войдите в систему с панели управления в качестве администратора аппарата.

2Нажмите [Параметры системы].

3Нажмите [Инструм.админ.].

4Нажмите [Стрелка внизСлед.].

5Нажмите [Управление аутентификацией пользователя].

Иллюстрация экрана панели управления

6Выберите [Аутент.LDAP].

Если нужно выключить управление аутентификацией пользователей, выберите [Выкл.].

7Выберите сервер LDAP, который будет использоваться для аутентификации LDAP.

Иллюстрация экрана панели управления

8Выберите уровень "Аутент.здн.на печ.".

Для получения сведений об уровнях аутентификации заданий принтера см. Аутентификация заданий на печать.

Если выбран вариант [Полностью] или [Простая (Все)], переходите к шагу 12.

Если выбран вариант [Простая (Огр.)], перейдите к шагу 9.

9Выберите [Изменить] для "Диапазон ограничения".

10Укажите диапазон, в котором к параметру "Аутент.здн.на печ." применяется значение [Простая (Огр.)].

Иллюстрация экрана панели управления

Можно указать диапазон адресов IPv4, к которым будет применена эта настройка.

11Нажмите [Выход].

12Нажмите [Стрелка внизСлед.].

13В разделе “Доступные функции” выберите функции аппарата, доступ к которым следует разрешить.

Иллюстрация экрана панели управления

К указанным функциям будет применяться аутентификация LDAP.

Пользователи могут использовать только выбранные функции.

Для получения сведений о настройке доступных функций для пользователей или групп см. Ограничение доступных функций.

14Нажмите [Изменить] в пункте “Атр.имени логина”.

15Введите атрибут имени логина, а затем нажмите [OK].

Атрибут имени пользователя можно использовать в качестве критерия поиска для получения данных об аутентифицированном пользователе. Вы можете создать поисковый фильтр на основе атрибута для имени пользователя, выбрать пользователя, а затем извлечь информацию о пользователе с сервера LDAP, чтобы перенести ее в адресную книгу аппарата.

Для настройки нескольких атрибутов логина поставьте запятую (,) между ними. При поиске будут выявлены совпадения внесенного логина со всеми атрибутами.

Также, если вы поставите знак равенства (=) между двумя атрибутами логина (например: cn=abcde, uid=xyz), при поиске будут найдены только совпадения, соответствующие атрибутам. Эта функция поиска может также быть применена при использовании аутентификации Cleartext.

При аутентификации с использованием формата DN нет необходимости в регистрации атрибутов логина.

Метод выбора имени пользователя зависит от среды сервера. Проверьте среду сервера и введите имя пользователя соответственно.

16Нажмите кнопку [Изменить] в пункте “Уникальный атрибут”.

17Введите уникальный атрибут и нажмите [OK].

Укажите уникальный атрибут в аппарате, чтобы информация о пользователе на сервере LDAP соответствовала информации в аппарате. Таким образом, если уникальный атрибут пользователя, зарегистрированный на сервере LDAP, соответствует атрибуту пользователя, зарегистрированному в аппарате, оба они считаются относящимися к одному и тому же пользователю.

Вы можете ввести такой атрибут как "serialNumber" или "uid". Кроме того, можно ввести "cn" или "employeeNumber", при условии их уникальности. Если не указать уникальный атрибут, в аппарате будет создана учетная запись с той же информацией о пользователе, но с другим именем пользователя.

18Нажмите [ОК].

19Нажмите [Выход из сист.].

Появится сообщение с подтверждением. При нажатии кнопки [OK] будет выполнен автоматический выход из системы.