ระบบยืนยันตัวตนผ่าน LDAP (LDAP Authentication)
การตรวจรับรอง LDAP ใช้ได้เฉพาะในกรณีที่ติดตั้งฮาร์ดดิสก์เสริมไว้เท่านั้น
โปรดกำหนดวิธีการยืนยันตัวตนด้วยวิธีนี้เมื่อใช้เซิร์ฟเวอร์ LDAP ในการยืนยันตัวตนของผู้ใช้งานที่มีบัญชีอยู่บนเซิร์ฟเวอร์ LDAP ผู้ใช้จะไม่ได้รับการยืนยันตัวตนหากไม่มีบัญชีอยู่บนเซิร์ฟเวอร์ LDAP คุณสามารถลงทะเบียน Address Book ที่เก็บบันทึกอยู่ในเซิร์ฟเวอร์ LDAP ลงในเครื่องเพื่อเปิดใช้ระบบยืนยันตัวตนผู้ใช้ได้ โดยไม่จำเป็นต้องเข้าใช้เครื่องเพื่อทำการลงทะเบียนตั้งค่าใน Address Book ขณะใช้ระบบยืนยันตัวตนผ่าน LDAP เพื่อป้องกันข้อมูลรหัสผ่านมิให้ถูกส่งไปบนเครือข่ายที่ไม่มีการเข้ารหัส ควรเข้ารหัสการติดต่อสื่อสารระหว่างเครื่องกับเซิร์ฟเวอร์ LDAP โดยใช้ SSL คุณสามารถกำหนดบนเซิร์ฟเวอร์ LDAP ได้ว่าจะเปิดใช้ SSL หรือไม่ ในการทำเช่นี้ คุณจะต้องสร้างใบรับรองเซิร์ฟเวอร์สำหรับเซิร์ฟเวอร์ LDAP สำหรับรายละเอียดเกี่ยวกับการจัดทำเอกสารรับรองเซิร์ฟเวอร์ โปรดดู การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate) สามารถกำหนดการตั้งค่า SSL ได้ในการตั้งค่าเซิร์ฟเวอร์ LDAP
การใช้ Web Image Monitor ที่ควบคุมจากคอมพิวเตอร์เครือข่าย ช่วยให้คุณสามารถเปิดใช้งานฟังก์ชั่นเพื่อตรวจสอบว่าเซิร์ฟเวอร์ SSL น่าเชื่อถือหรือไม่ (Web Image Monitor เป็นเครื่องมือสำหรับติดตามการทำงานของเครื่อง หรือตั้งค่าต่างๆ ผ่านเว็บเบราว์เซอร์) สำหรับรายละเอียดเกี่ยวกับการกำหนดข้อมูลยืนยันตัวตนผ่าน LDAP โดยใช้ Web Image Monitor โปรดดู วิธีใช้ Web Image Monitor
เมื่อคุณเลือกระบบยืนยันตัวตนผ่าน Cleartext ระบบยืนยันตัวตนผ่าน LDAP Simplified จะถูกเปิดใช้งาน ระบบยืนยันตัวตนอย่างง่าย (Simplified) สามารถทำได้โดยใช้แอททริบิวต์ของผู้ใช้ (เช่น cn หรือ uid) แทนการใช้ DN
หากต้องการเปิดใช้ Kerberos สำหรับระบบยืนยันตัวตนผ่าน LDAP จะต้องลงทะเบียน REALM ไว้ล่วงหน้าเสียก่อน ซึ่งจะต้องกำหนดค่า REALM เป็นตัวพิมพ์ใหญ่ ดูรายละเอียดการลงทะเบียน Realm ได้จากหัวข้อ Help ของ Web Image Monitor
หากคุณใช้การตรวจรับรอง LDAP ข้อมูลผู้ใช้ที่ลงทะเบียนไว้ในเซิร์ฟเวอร์ LDAP เช่น ชื่อผู้ใช้สำหรับล็อกอิน จะถูกลงทะเบียนในสมุดที่อยู่ของเครื่องอัตโนมัติ แม้ว่าข้อมูลผู้ใช้ที่ลงทะเบียนใน Address Book ของเครื่องโดยอัตโนมัตินั้นจะแก้ไขอยู่บนเครื่องก็ตาม ระบบจะเขียนทับข้อมูลดังกล่าวนั้นด้วยข้อมูลที่มาจากเซิร์ฟเวอร์ LDAP ขณะมีการยืนยันตัวตน
ภายใต้ระบบยืนยันตัวตนผ่าน LDAP คุณจะไม่สามารถกำหนดขีดจำกัดการเข้าถึงให้กับกลุ่มที่ลงทะเบียนไว้ใน Directory Server ได้
ห้ามใช้ตัวอักษรแบบสองไบต์ เช่น ญี่ปุ่น จีนดั้งเดิม จีนประยุกต์ หรือตัวอักษรฮันกุลในการป้อนชื่อหรือรัหสผ่านสำหรับล็อกอิน หากคุณใช้ตัวอักษรแบบสองไบต์ คุณจะไม่สามารถยืนยันตัวตนโดยใช้ Web Image Monitor ได้
หากใช้ Active Directory ในการตรวจรับรอง LDAP เมื่อตั้งค่าการตรวจรับรอง Kerberos และ SSL ไว้พร้อม ๆ กัน จะไม่สามารถสืบค้นข้อมูลผู้ใช้ได้
ภายใต้ระบบยืนยันตัวตนผ่าน LDAP หาก "Anonymous Authentication" ในการตั้งค่าของเซิร์ฟเวอร์ LDAP ไม่ได้ตั้งค่าให้เเป็น Prohibit ผู้ใช้ที่ไม่มีบัญชีในเซิร์ฟเวอร์ LDAP อาจสามารถเข้าถึงเซิร์ฟเวอร์ได้
หากทำการกำหนดค่าเซิร์ฟเวอร์ LDAP โดยใช้ Windows Active Directory อาจสามารถใช้งาน "Anonymous Authentication" ได้ หากระบบยืนยันตัวตนผ่าน Windows สามารถใช้งานได้ คุณควรใช้ระบบดังกล่าว
ข้อกำหนดการใช้งานสำหรับระบบยืนยันตัวตนผ่าน LDAP
หากต้องการกำหนดข้อมูลการยืนยันตัวตนผ่าน LDAP จะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:
กำหนดค่าให้เครื่องสามารถตรวจหาเซิร์ฟเวอร์ LDAP
ขณะใช้งาน SSL ระบบ TLSv1 หรือ SSLv3 สามารถทำงานอยู่บนเซิร์ฟเวอร์ LDAP
ลงทะเบียนเซิร์ฟเวอร์ LDAP ไว้ในเครื่อง
หากต้องการลงทะเบียนเซิร์ฟเวอร์ LDAP ให้กำหนดการตั้งค่าดังต่อไปนี้:
Server Name
Search Base
Port Number
SSL communication
Authentication
เลือกระบบยืนยันตัวผ่าน Kerberos, DIGEST หรือ Cleartext
User Name
คุณไม่จำเป็นต้องป้อนชื่อผู้ใช้หากเซิร์ฟเวอร์ LDAP รองรับ "Anonymous Authentication"
Password
คุณไม่จำเป็นต้องป้อนรหัสผ่านหากเซิร์ฟเวอร์ LDAP รองรับ "Anonymous Authentication"
ดูรายละเอียดการลงทะเบียนเซิร์ฟเวอร์ LDAP ได้จากหัวข้อ Help ของ Web Image Monitor
สำหรับตัวอักษรที่สามารถใช้ได้สำหรับชื่อผู้ใช้และรหัสผ่าน โปรดดู ตัวอักษรที่สามารถใช้ได้ในชื่อผู้ใช้และรหัสผ่าน
สำหรับโหมดยืนยันตัวตนผ่าน LDAP อย่างง่าย ระบบยืนยันตัวตนจะไม่สามารถถทำงานได้หากรหัสผ่านดังกล่าวเป็นช่องว่าง หกต้องการใช้รหัสผ่านที่เป็นช่องว่าง โปรดติดต่อตัวแทนผู้ให้บริการของคุณ
ครั้งแรกที่ผู้ใช้ซึ่งยังไม่ได้ลงทะเบียนเข้ามาใช้เครื่องหลังจากที่มีการกำหนดข้อมูลการยืนยันตัวตนผ่าน LDAP เรียบร้อยแล้ว ผู้ใช้คนดังกล่าวจะถูกลงทะเบียนลงในเครื่องและสามารถใช้ฟังก์ชันที่มีอยู่ภายใต้ "Available Functions" ขณะยืนยันตัวตนผ่าน LDAP หากต้องการจำกัดฟังก์ชันที่ผู้ใช้แต่ละรายสามารถใช้งานได้ โปรดลงทะเบียนผู้ใช้แต่ละรายและทำการตั้งค่า "Available Functions" ที่เกี่ยวข้องใน Address Book หรือกำหนด "Available Functions" สำหรับผู้ใช้แต่ละรายที่ลงทะเบียนแล้ว ซึ่งการตั้งค่า "Available Functions" จะถูกเปิดใช้งานเมื่อผู้ใช้เข้าใช้เครื่อง
การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC จะถูกเข้ารหัสหากมีการเปิดใช้ระบบยืนยันตัวตนผ่าน Kerberos สำหรับรายละเอียดเกี่ยวกับการกำหนดการรับส่งแบบเข้ารหัส โปรดดู การตั้งค่าการเข้ารหัสตรวจรับรอง Kerberos
ก่อนกำหนดค่าให้กับเครื่อง โปรดแน่ใจว่าได้ทำการกำหนดค่าระบบยืนยันตัวตนสำหรับผู้ดูแลระบบอย่างเหมาะสมแล้ว ภายใต้ "Administrator Authentication Management"
เปิดเว็บเบราเซอร์จากคอมพิวเตอร์เครือข่าย จากนั้นล็อกอินไปยัง Web Image Monitor ในฐานะผู้ดูแลระบบของเครื่อง
สำหรับวิธีการล็อกอิน โปรดดูที่วิธีการล็อกอินของผู้ดูแลระบบ
ชี้ไปที่ [Device Management] จากนั้นคลิก [Configuration]
คลิก [User Authentication Management] จาก "Device Settings"
เลือก [LDAP Authentication] จากส่วนแสดงรายการ "User Authentication Management"
เลือกระดับของ "Printer Job Authentication"
ดูรายละเอียดระดับการตรวจรับรองงานของเครื่องพิมพ์ได้จากหัวข้อ การตรวจรับรองงานของเครื่องพิมพ์
หากคุณเลือก [Entire] หรือ [Simple (All)] โปรดไปยังขั้นตอนที่ 7
หากคุณเลือก [Simple (Limitation)] โปรดไปยังขั้นตอนที่ 6
กำหนดช่วงของ [Simple (Limitation)] ที่จะใช้กับ "Printer Job Authentication"
คุณสามารถกำหนดช่วงของที่อยู่ IP ที่จะใช้กับการตั้งค่านี้ และคุณยังสามารถระบุว่า จะกำหนดใช้การตั้งค่าสำหรับส่วนติดต่อแบบขนานและ USB หรือไม่
เลือกให้ใช้เซิร์ฟเวอร์ LDAP สำหรับระบบยืนยันตัวตนผ่าน LDAP
กรอกแอททริบิวต์ของชื่อสำหรับล็อกอิน
ใช้แอททริบิวต์ของชื่อสำหรับล็อกอินเป็นเกณฑ์ในการค้นหา เพื่อรับข้อมูลเกี่ยวกับผู้ใช้ที่ได้รับการยืนยันตัวตนแล้ว คุณสามารถสร้างตัวกรองการค้นหาได้ตามแอททริบิวต์ของชื่อสำหรับล็อกอิน เลือกผู้ใช้งาน จากนั้นดึงข้อมูลผู้ใช้จากเซิร์ฟเวอร์ LDAP เข้าสู่ Address Book ของเครื่อง
หากต้องการกำหนดแอททริบิวต์สำหรับล็อกอินหลายๆ รายการ โปรดคั่นด้วยเครื่องหมายจุลภาค (,) ระบบจะส่งผลการค้นหากลับมาตามค่าแอททริบิวต์หนึ่งหรือทั้งสองค่า
นอกจากนี้ หากคุณใส่เครื่องหมายเท่ากับ (=) ระหว่างแอททริบิวต์สำหรับล็อกอินสองค่า (ตัวอย่างเช่น: cn=abcde, uid=xyz) ระบบจะส่งผลการค้นหากลับมาเฉพาะเมื่อมีคำตรงกับแอททริบิวต์ดังกล่าว ฟังก์ชันการค้นหานี้ยังสามารถใช้เมื่อมีการกำหนดข้อมูลการยืนยันตัวตนผ่าน Cleartext อีกด้วย
เมื่อมีการตรวจรับรองแบบ DN ไม่ต้องลงทะเบียนแอททริบิวต์สำหรับล็อกอิน
ซึ่งวิธีการเลือกชื่อผู้ใช้จะขึ้นอยู่กับการทำงานของเซิร์ฟเวอร์ ตรวจสอบการทำงานของเซิร์ฟเวอร์แล้วป่อนชื่อผู้ใช้ที่เกี่ยวข้อง
กรอกแอททริบิวต์เฉพาะที่ต้องการ
กำหนดแอททริบิวต์ที่ไม่ซ้ำกันบนเครื่องให้ตรงกับข้อมูลผู้ใช้ที่อยู่ในเซิร์ฟเวอร์ LDAP โดยการทำเช่นนี้ หากแอททริบิวต์แบบไม่ซ้ำกันของผู้ใช้ที่ลงทะเบียนอยู่ในเซิร์ฟเวอร์ LDAP ตรงกับข้อมูลผู้ใช้ที่ลงทะเบียนไว้ในเครื่อง ทั้งสองรายการจะถือว่าเป็นผู้ใช้คนเดียวกัน คุณสามารถป่อนแอททริบิวต์ เช่น "serialNumber" หรือ "uid" นอกจากนี้ คุณยังสามารถป้อน "cn" หรือ "employeeNumber" เพื่อไม่ให้ซ้ำกันได้อีกด้วย หากคุณไม่กำหนดแอททริบิวต์แบบไม่ซ้ำกัน ระบบจะสร้างบัญชีที่มีข้อมูลผู้ใช้เหมือนกันแต่มีชื่อผู้ใช้สำหรับล็อกอินต่างกันขึ้นในเครื่อง
ใน "Available Functions" ให้เลือกฟังก์ชันการทำงานบนเครื่องที่คุณต้องการให้อนุญาต
ระบบจะนำฟังก์ชันที่เลือกไปใช้กับระบบยืนยันตัวตนผ่าน LDAP
ผู้ใช้จะสามารถใช้งานได้เฉพาะฟังก์ชันที่เลือกเท่านั้น
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการกำหนดฟังก์ชันที่สามารถใช้งานได้สำหรับกลุ่มหรือผู้ใช้แต่ละราย โปรดดู การจำกัดAvailable Functions
คลิก [OK]
ล็อกเอาต์ออกจากระบบ
ดูรายละเอียดเกี่ยวกับการล็อกเอาต์ได้ที่วิธีการล็อกเอาต์ของผู้ดูแลระบบ