ระบบยืนยันตัวตนผ่าน LDAP (LDAP Authentication)
โปรดกำหนดวิธีการยืนยันตัวตนด้วยวิธีนี้เมื่อใช้เซิร์ฟเวอร์ LDAP ในการยืนยันตัวตนของผู้ใช้งานที่มีบัญชีอยู่บนเซิร์ฟเวอร์ LDAP ผู้ใช้จะไม่ได้รับการยืนยันตัวตนหากไม่มีบัญชีอยู่บนเซิร์ฟเวอร์ LDAP คุณสามารถลงทะเบียน Address Book ที่เก็บบันทึกอยู่ในเซิร์ฟเวอร์ LDAP ลงในเครื่องเพื่อเปิดใช้ระบบยืนยันตัวตนผู้ใช้ได้ โดยไม่จำเป็นต้องเข้าใช้เครื่องเพื่อทำการลงทะเบียนตั้งค่าใน Address Book ขณะใช้ระบบยืนยันตัวตนผ่าน LDAP เพื่อป้องกันข้อมูลรหัสผ่านมิให้ถูกส่งไปบนเครือข่ายที่ไม่มีการเข้ารหัส ควรเข้ารหัสการติดต่อสื่อสารระหว่างเครื่องกับเซิร์ฟเวอร์ LDAP โดยใช้ SSL คุณสามารถกำหนดบนเซิร์ฟเวอร์ LDAP ได้ว่าจะเปิดใช้ SSL หรือไม่ ในการทำเช่นี้ คุณจะต้องสร้างใบรับรองเซิร์ฟเวอร์สำหรับเซิร์ฟเวอร์ LDAP สำหรับรายละเอียดเกี่ยวกับการจัดทำเอกสารรับรองเซิร์ฟเวอร์ โปรดดู การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate) สามารถกำหนดการตั้งค่า SSL ได้ในการตั้งค่าเซิร์ฟเวอร์ LDAP
การใช้ Web Image Monitor ที่ควบคุมจากคอมพิวเตอร์เครือข่าย ช่วยให้คุณสามารถเปิดใช้งานฟังก์ชั่นเพื่อตรวจสอบว่าเซิร์ฟเวอร์ SSL น่าเชื่อถือหรือไม่ (Web Image Monitor เป็นเครื่องมือสำหรับติดตามการทำงานของเครื่อง หรือตั้งค่าต่างๆ ผ่านเว็บเบราว์เซอร์) สำหรับรายละเอียดเกี่ยวกับการกำหนดข้อมูลยืนยันตัวตนผ่าน LDAP โดยใช้ Web Image Monitor โปรดดู วิธีใช้ Web Image Monitor
เมื่อคุณเลือกระบบยืนยันตัวตนผ่าน Cleartext ระบบยืนยันตัวตนผ่าน LDAP Simplified จะถูกเปิดใช้งาน ระบบยืนยันตัวตนอย่างง่าย (Simplified) สามารถทำได้โดยใช้แอททริบิวต์ของผู้ใช้ (เช่น cn หรือ uid) แทนการใช้ DN
หากต้องการเปิดใช้ Kerberos สำหรับระบบยืนยันตัวตนผ่าน LDAP จะต้องลงทะเบียน REALM ไว้ล่วงหน้าเสียก่อน ซึ่งจะต้องกำหนดค่า REALM เป็นตัวพิมพ์ใหญ่ ดูรายละเอียดในการลงทะเบียน Realm ได้จากหัวข้อ "การตั้งโปรแกรม Realm", การตั้งค่า
หากคุณใช้ระบบยืนยันตัวตแนผ่าน LDAP ข้อมูลผู้ใช้ที่ลงทะเบียนไว้ในเซิร์ฟเวอร์ LDAP จะถูกลงทะเบียนลงใน Address Book ของเครื่องโดยอัตโนมัติ เช่น อีเมลแอดเดรสของผู้ใช้ เป็นต้น แม้ว่าข้อมูลผู้ใช้ที่ลงทะเบียนใน Address Book ของเครื่องโดยอัตโนมัตินั้นจะแก้ไขอยู่บนเครื่องก็ตาม ระบบจะเขียนทับข้อมูลดังกล่าวนั้นด้วยข้อมูลที่มาจากเซิร์ฟเวอร์ LDAP ขณะมีการยืนยันตัวตน
ภายใต้ระบบยืนยันตัวตนผ่าน LDAP คุณจะไม่สามารถกำหนดขีดจำกัดการเข้าถึงให้กับกลุ่มที่ลงทะเบียนไว้ใน Directory Server ได้
ห้ามใช้ตัวอักษรแบบสองไบต์ เช่น ญี่ปุ่น จีนดั้งเดิม จีนประยุกต์ หรือตัวอักษรฮันกุลในการป้อนชื่อหรือรัหสผ่านสำหรับล็อกอิน หากคุณใช้ตัวอักษรแบบสองไบต์ คุณจะไม่สามารถยืนยันตัวตนโดยใช้ Web Image Monitor ได้
หากมีการใช้ Active Directory ในระบบยืนยันตัวตนผ่าน LDAP โดยที่ตั้งค่าระบบยืนยันตัวตนผ่าน Kerberos และ SSL ในเวลาเดียวกัน จะไม่ได้รับอีเมลแอดเดรส
ภายใต้ระบบยืนยันตัวตนผ่าน LDAP หาก "Anonymous Authentication" ในการตั้งค่าของเซิร์ฟเวอร์ LDAP ไม่ได้ตั้งค่าให้เเป็น Prohibit ผู้ใช้ที่ไม่มีบัญชีในเซิร์ฟเวอร์ LDAP อาจสามารถเข้าถึงเซิร์ฟเวอร์ได้
หากทำการกำหนดค่าเซิร์ฟเวอร์ LDAP โดยใช้ Windows Active Directory อาจสามารถใช้งาน "Anonymous Authentication" ได้ หากระบบยืนยันตัวตนผ่าน Windows สามารถใช้งานได้ คุณควรใช้ระบบดังกล่าว
ข้อกำหนดการใช้งานสำหรับระบบยืนยันตัวตนผ่าน LDAP
หากต้องการกำหนดข้อมูลการยืนยันตัวตนผ่าน LDAP จะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:
กำหนดค่าให้เครื่องสามารถตรวจหาเซิร์ฟเวอร์ LDAP
ขณะใช้งาน SSL ระบบ TLSv1 หรือ SSLv3 สามารถทำงานอยู่บนเซิร์ฟเวอร์ LDAP
ลงทะเบียนเซิร์ฟเวอร์ LDAP ไว้ในเครื่อง
หากต้องการลงทะเบียนเซิร์ฟเวอร์ LDAP ให้กำหนดการตั้งค่าดังต่อไปนี้:
Server Name
Search Base
Port Number
SSL communication
Authentication
เลือกระบบยืนยันตัวผ่าน Kerberos, DIGEST หรือ Cleartext
User Name
คุณไม่จำเป็นต้องป้อนชื่อผู้ใช้หากเซิร์ฟเวอร์ LDAP รองรับ "Anonymous Authentication"
Password
คุณไม่จำเป็นต้องป้อนรหัสผ่านหากเซิร์ฟเวอร์ LDAP รองรับ "Anonymous Authentication"
ดูรายละเอียดการลงทะเบียนเซิร์ฟเวอร์ LDAP ได้จากหัวข้อ "การตั้งโปรแกรมเซิร์ฟเวอร์ LDAP", การตั้งค่า
สำหรับตัวอักษรที่สามารถใช้ได้สำหรับชื่อผู้ใช้และรหัสผ่าน โปรดดู ตัวอักษรที่สามารถใช้ได้ในชื่อผู้ใช้และรหัสผ่าน
สำหรับโหมดยืนยันตัวตนผ่าน LDAP อย่างง่าย ระบบยืนยันตัวตนจะไม่สามารถถทำงานได้หากรหัสผ่านดังกล่าวเป็นช่องว่าง หกต้องการใช้รหัสผ่านที่เป็นช่องว่าง โปรดติดต่อตัวแทนผู้ให้บริการของคุณ
ครั้งแรกที่ผู้ใช้ซึ่งยังไม่ได้ลงทะเบียนเข้ามาใช้เครื่องหลังจากที่มีการกำหนดข้อมูลการยืนยันตัวตนผ่าน LDAP เรียบร้อยแล้ว ผู้ใช้คนดังกล่าวจะถูกลงทะเบียนลงในเครื่องและสามารถใช้ฟังก์ชันที่มีอยู่ภายใต้ "Available Functions" ขณะยืนยันตัวตนผ่าน LDAP หากต้องการจำกัดฟังก์ชันที่ผู้ใช้แต่ละรายสามารถใช้งานได้ โปรดลงทะเบียนผู้ใช้แต่ละรายและทำการตั้งค่า "Available Functions" ที่เกี่ยวข้องใน Address Book หรือกำหนด "Available Functions" สำหรับผู้ใช้แต่ละรายที่ลงทะเบียนแล้ว ซึ่งการตั้งค่า "Available Functions" จะถูกเปิดใช้งานเมื่อผู้ใช้เข้าใช้เครื่อง
การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC จะถูกเข้ารหัสหากมีการเปิดใช้ระบบยืนยันตัวตนผ่าน Kerberos สำหรับรายละเอียดเกี่ยวกับการกำหนดการรับส่งแบบเข้ารหัส โปรดดู การตั้งค่าการเข้ารหัสตรวจรับรอง Kerberos
ก่อนกำหนดค่าให้กับเครื่อง โปรดแน่ใจว่าได้ทำการกำหนดค่าระบบยืนยันตัวตนสำหรับผู้ดูแลระบบอย่างเหมาะสมแล้ว ภายใต้ "Administrator Authentication Management"
ล็อกอินในฐานะผู้ดูแลระบบ (เครื่อง)จากแผงควบคุม
สำหรับวิธีการล็อกอิน โปรดดูที่วิธีการล็อกอินของผู้ดูแลระบบ
กด [System Settings]
กด [Administrator Tools]
กด [
Next]
กดปุ่ม [User Authentication Management]
เลือก [LDAP Auth. ]
หากคุณไม่ต้องการเปิดใช้ระบบยืนยันตัวตนของผู้ใช้ โปรดเลือก [Off]
เลือกให้ใช้เซิร์ฟเวอร์ LDAP สำหรับระบบยืนยันตัวตนผ่าน LDAP
เลือกระดับของ "Printer Job Authentication"
ดูรายละเอียดระดับการตรวจรับรองงานของเครื่องพิมพ์ได้จากหัวข้อ การตรวจรับรองงานของเครื่องพิมพ์
หากคุณเลือก [Entire] หรือ [Simple (All)] โปรดไปยังขั้นตอนที่ 12
หากคุณเลือก [Simple (Limitation)] โปรดไปยังขั้นตอนที่ 9
กดปุ่ม [Change] สำหรับ "Limitation Range"
กำหนดช่วงของ [Simple (Limitation)] ที่จะใช้กับ "Printer Job Authentication"
คุณสามารถกำหนดช่วงของที่อยู่ IPv4 ที่จะใช้กับการตั้งค่านี้ และคุณยังสามารถระบุว่า จะกำหนดใช้การตั้งค่าสำหรับส่วนติดต่อแบบขนานและ USB หรือไม่
กด [Exit]
กดปุ่ม [Next]
ใน “Available Functions” โปรดเลือกฟังก์ชันที่คุณต้องการให้อนุญาต
ระบบจะนำฟังก์ชันที่เลือกไปใช้กับระบบยืนยันตัวตนผ่าน LDAP
ผู้ใช้จะสามารถใช้งานได้เฉพาะฟังก์ชันที่เลือกเท่านั้น
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการกำหนดฟังก์ชันที่สามารถใช้งานได้สำหรับกลุ่มหรือผู้ใช้แต่ละราย โปรดดู การจำกัดAvailable Functions
กดปุ่ม [Change] สำหรับ “Login Name Attribute”
ป้อนแอททริบิวต์ของชื่อสำหรับล็อกอิน จากนั้นกดปุ่ม [OK]
ใช้แอททริบิวต์ของชื่อสำหรับล็อกอินเป็นเกณฑ์ในการค้นหา เพื่อรับข้อมูลเกี่ยวกับผู้ใช้ที่ได้รับการยืนยันตัวตนแล้ว คุณสามารถสร้างตัวกรองการค้นหาได้ตามแอททริบิวต์ของชื่อสำหรับล็อกอิน เลือกผู้ใช้งาน จากนั้นดึงข้อมูลผู้ใช้จากเซิร์ฟเวอร์ LDAP เข้าสู่ Address Book ของเครื่อง
หากต้องการกำหนดแอททริบิวต์สำหรับล็อกอินหลายๆ รายการ โปรดคั่นด้วยเครื่องหมายจุลภาค (,) ระบบจะส่งผลการค้นหากลับมาตามค่าแอททริบิวต์หนึ่งหรือทั้งสองค่า
นอกจากนี้ หากคุณใส่เครื่องหมายเท่ากับ (=) ระหว่างแอททริบิวต์สำหรับล็อกอินสองค่า (ตัวอย่างเช่น: cn=abcde, uid=xyz) ระบบจะส่งผลการค้นหากลับมาเฉพาะเมื่อมีคำตรงกับแอททริบิวต์ดังกล่าว ฟังก์ชันการค้นหานี้ยังสามารถใช้เมื่อมีการกำหนดข้อมูลการยืนยันตัวตนผ่าน Cleartext อีกด้วย
เมื่อมีการยืนยันตัวตนโดยใช้รูปแบบ DN คุณไม่จำเป็นต้องลงทะเบียนแอททริบิวต์สำหรับล็อกอิน
ซึ่งวิธีการเลือกชื่อผู้ใช้จะขึ้นอยู่กับการทำงานของเซิร์ฟเวอร์ ตรวจสอบการทำงานของเซิร์ฟเวอร์แล้วป่อนชื่อผู้ใช้ที่เกี่ยวข้อง
กดปุ่ม [Change] สำหรับ “Unique Attribute”
ป้อนแอททริบิวต์ที่ไม่ซ้ำกัน จากนั้นกดปุ่ม [OK]
กำหนดแอททริบิวต์ที่ไม่ซ้ำกันบนเครื่องให้ตรงกับข้อมูลผู้ใช้ที่อยู่ในเซิร์ฟเวอร์ LDAP โดยการทำเช่นนี้ หากแอททริบิวต์แบบไม่ซ้ำกันของผู้ใช้ที่ลงทะเบียนอยู่ในเซิร์ฟเวอร์ LDAP ตรงกับข้อมูลผู้ใช้ที่ลงทะเบียนไว้ในเครื่อง ทั้งสองรายการจะถือว่าเป็นผู้ใช้คนเดียวกัน
คุณสามารถป่อนแอททริบิวต์ เช่น "serialNumber" หรือ "uid" นอกจากนี้ คุณยังสามารถป้อน "cn" หรือ "employeeNumber" เพื่อไม่ให้ซ้ำกันได้อีกด้วย หากคุณไม่กำหนดแอททริบิวต์แบบไม่ซ้ำกัน ระบบจะสร้างบัญชีที่มีข้อมูลผู้ใช้เหมือนกันแต่มีชื่อผู้ใช้สำหรับล็อกอินต่างกันขึ้นในเครื่อง
กด [OK]
ล็อกเอาต์ออกจากระบบ
ดูรายละเอียดเกี่ยวกับการล็อกเอาต์ได้ที่วิธีการล็อกเอาต์ของผู้ดูแลระบบ