使用LDAP伺服器驗證在LDAP伺服器上擁有帳戶的使用者時,請指定此驗證方法。如果使用者在LDAP伺服器上沒有帳戶,則無法進行驗證。可將儲存於LDAP伺服器上的通訊錄登記至機器中,如此一來啟用使用者驗證之前就不必先使用機器在通訊錄中登記個別設定。使用LDAP驗證時,若要防止密碼資訊在未加密網路上傳送,建議使用SSL加密機器與LDAP伺服器之間的通訊。您可以在LDAP伺服器上指定是否啟用SSL。若要啟用SSL加密通訊,必須建立LDAP伺服器的伺服器憑證。關於建立伺服器憑證的詳細資訊,請參閱建立伺服器憑證。可以在LDAP伺服器設定中指定SSL設定。
您可以使用Web Image Monitor來啟用確認SSL伺服器受信任的功能。關於使用Web Image Monitor指定LDAP驗證的詳細資訊,請參閱Web Image Monitor說明。
選擇純文字驗證時,將啟用LDAP簡易驗證。可以搭配使用者屬性(如cn或uid)而非網域名稱(DN)來執行簡易驗證。
若要啟用LDAP驗證的Kerberos,必須事先登記realm。必須以大寫字母配置realm。關於登記realm的詳細資訊,請參閱「連接機器/系統設定」的「登錄Realm」。
如果使用LDAP驗證,登錄在LDAP伺服器的使用者資訊(例如使用者的電子郵件地址)會自動登錄到機器的通訊錄。即使已在機器上編輯自動登記在機器通訊錄中的使用者資訊,也會在執行驗證時由LDAP伺服器的資訊加以覆寫。
在LDAP驗證下,您無法對在目錄伺服器中登記的群組指定存取限制。
輸入登入使用者名稱或密碼時,請勿使用雙位元組的日文、繁體中文、簡體中文或韓文字元。如果使用雙位元組字元,就無法使用Web Image Monitor進行驗證。
如果同時設定Kerberos驗證和SSL,在LDAP驗證中使用Active Directory時,則無法取得電子郵件地址。
在LDAP驗證下,如果未將LDAP伺服器設定中的「匿名驗證」設定為禁止,則不具有LDAP伺服器帳戶的使用者可能仍可存取伺服器。
如果使用Windows Active Directory來配置LDAP伺服器,則「匿名驗證」或許可以使用。如果可以使用Windows驗證,建議使用。
LDAP驗證的操作要求
若要指定LDAP驗證,必須符合下列要求:
配置網路,以便機器能夠偵測LDAP伺服器。
使用SSL時,TLSv1或SSLv3皆可在LDAP伺服器上執行。
登記LDAP伺服器至機器。
若要登記LDAP伺服器,請指定下列設定:
伺服器名稱
搜尋基礎
連接埠編號
SSL通訊
驗證
選擇Kerberos、DIGEST或純文字驗證其中一項。
使用者名稱
如果LDAP伺服器支援「匿名驗證」,則不需要輸入使用者名稱。
密碼
如果LDAP伺服器支援「匿名驗證」,則不需要輸入密碼。
關於登記LDAP伺服器的詳細資訊,請參閱「連接機器/系統設定」的「登錄LDAP伺服器」。
關於登入使用者名稱和密碼可使用的字元的詳細資訊,請參閱使用者名稱和密碼可用字元。
在LDAP簡易驗證模式中,密碼留白將導致驗證失敗。若要使用空白密碼,請聯絡您的服務代表。
在指定LDAP驗證之後,未登記的使用者第一次存取機器時,其資訊會登記在機器上,並可在LDAP驗證期間使用「可用功能」下的可用功能。若要限制每位使用者的可用功能,請在通訊錄中登記每位使用者和對應的「可用功能」設定,或為每位登記的使用者指定「可用功能」。使用者存取機器時,便啟用「可用功能」設定。
如果啟用Kerberos驗證,則會將機器和KDC伺服器之間的資料傳送加密。關於指定加密傳送的詳細資訊,請參閱Kerberos驗證加密設定。
配置機器之前,請先確認已正確設定了「管理員驗證管理」下的管理員驗證。
從控制面板以機器管理員身份登入。
按下[系統設定]。
按下[管理員工具]。
按下[次頁]。
按下[使用者驗證管理]。
選擇[LDAP驗證]。
如果您不要啟用使用者驗證,請選擇[關閉]。
選擇要用於LDAP驗證的LDAP伺服器。
按下「限制範圍」的[變更]。
指定套用至「印表機工作驗證」之[簡易(限定)]的範圍。
您可以指定套用此設定的IPv4位址範圍。
按下[結束]。
按下[次頁]。
在“可用功能”中,選擇您要允許的機器功能。
如果未顯示您要選擇的功能,請按下[次頁]。
LDAP驗證將會套用至選擇的功能。
使用者只能使用選擇的功能。
關於為個人或群組指定可使用功能的詳細資訊,請參閱限制可用功能。
按下[次頁]。
按下“登入名稱屬性”的[變更]。
輸入登入名稱屬性,然後按下[確定]。
使用登入名稱屬性作為搜尋條件,來取得已驗證使用者的資訊。您可以根據登入名稱屬性建立搜尋過濾器,選擇一位使用者,然後從LDAP伺服器取得使用者資訊,以將它轉傳到機器的通訊錄。
若要指定多個登入屬性,請在每個屬性之間加上逗點(,)。搜尋將會傳回其中一或兩個屬性的結果。
此外,如果在兩個登入屬性之間放入等號(=)(例如:cn=abcde、uid=xyz),則搜尋只會傳回符合這兩個屬性的結果。指定純文字驗證時,也可套用此搜尋功能。
使用網域名稱格式驗證時,不需登記登入屬性。
選擇使用者名稱的方法視伺服器環境而定。檢查伺服器環境,並輸入對應的使用者名稱。
按下“獨特屬性”的[變更]。
輸入獨特屬性,然後按下[確定]。
在機器上指定獨特屬性,使LDAP伺服器中的使用者資訊與機器上的使用者資訊相符。這樣一來,如果登記在LDAP伺服器上的使用者之獨特屬性,與登記在機器上的使用者之獨特屬性相符,則會將這兩個項目視為同一個使用者。
您可以輸入「serialNumber」或「uid」之類的屬性。此外,如果「cn」或「employeeNumber」屬性是獨特的,您也可以輸入。如果您沒有指定獨特屬性,則會在機器上建立具有相同使用者資訊,但登入使用者名稱不同的帳戶。
按下[確定]。
按下[登出]。
隨即出現確認訊息。如果您按下[確定],將會自動登出。