Über die Seite LDAP-Authentifizierung können Sie einen LDAP-Server (Lightweight Directory Access Protocol) konfigurieren, um die Benutzer eines Geräts (MPF-Gerät, Digitales Kopiergerät oder Digital Sender) zu authentifizieren. Bei aktivierter LDAP-Authentifizierung muss der Benutzer gültige Anmeldeinformationen eingeben (Benutzername und Kennwort), um Zugriff auf die Digital Sending-Funktionen zu erhalten.
Die Authentifizierung besteht aus zwei voneinander abhängigen Bestandteilen. Erst überprüft das Gerät die Anmeldeinformationen des Benutzers über den LDAP-Server. Nachdem der Benutzer des Geräts gültige Anmeldeinformationen eingegeben hat und die Authentifizierung erfolgt ist, sucht das Gerät nach der E-Mail-Adresse und dem Namen des Benutzers. Wenn einer dieser Schritte fehlschlägt, wird dem Benutzer der Zugriff auf die Digital Sending-Funktionen des Geräts verweigert.
Über die Seite LDAP-Authentifizierung können Sie die Parameter festlegen, die für den Zugriff auf den LDAP-Server und für die Suche nach Benutzerinformationen verwendet werden. Beachten Sie, dass diese Seite nur verwendet werden kann, wenn auf der Seite Authentifizierungsmanager als Authentifizierungsmethode die Funktion Internes LDAP verwenden aktiviert wurde.
Die Einstellung LDAP Server Bind-Methode legt fest, wie das Gerät auf den LDAP-Server zugreift. Erkundigen Sie sich beim Administrator des LDAP-Servers nach der für Sie am besten geeigneten Anmeldemethode.
Bei der Einstellung LDAP-Server handelt es sich um den Hostnamen oder die IP-Adresse des LDAP-Servers, der für die Authentifizierung der Benutzer verwendet wird. Bei Verwendung von SSL muss der hier angegebene Name bzw. die Adresse mit dem Namen übereinstimmen, der im vom Server gesendeten Zertifikat enthalten ist.
In diesem Feld können mehrere Server angegeben werden, wobei ihre Adressen durch vertikale Striche voneinander getrennt werden ('|', ASCII 0x7c). Diese Funktion kann beispielsweise verwendet werden, um primäre Server und Sicherungsserver festzulegen. Die Netzwerkschnittstelle unterstützt lediglich ein CA-Zertifikat (Certificate Authority). Daher müssen alle aufgelisteten LDAP-Server die gleiche Zertifizierungsinstanz verwenden.
Bei der Einstellung Anschluss handelt es sich um die Nummer des TCP/IP-Anschlusses, über den der Server LDAP-Anfragen verarbeitet. In der Regel handelt es sich hierbei um Anschluss 389 für Einfach oder um Anschluss 636 für Einfach über SSL.
Bei der Einstellung Bind-Präfix handelt es sich um das LDAP-Attribut, das für das Erstellen des Distinguished Name (eindeutiger Name, DN) für die Authentifizierung des Benutzers verwendet wird. Dieses Präfix wird mit dem Benutzernamen kombiniert, der am Bedienfeld des Geräts eingegeben wird, um den Relative Distinguished Name (relativer eindeutiger Name, RDN) zu bilden. In der Regel wird als Präfix "CN" für "Allgemeiner Name" (common name) oder "UID" für "Benutzerkennung" (user identity) verwendet.
Der Wert Bind- und Suchpfad wird während der zwei Authentifizierungsphasen verwenden. Bei der Überprüfung der Anmeldeinformationen wird dieser Wert mit dem relativen eindeutigen Namen (RDN) kombiniert, um den vollständigen eindeutigen Namen (DN) des Benutzers zu erstellen. Bei der Suche nach den Benutzerinformationen stellt dieser Wert den eindeutigen Namen des Eintrags in der LDAP-Verzeichnisstruktur dar, bei dem die Suche beginnen soll.
Die Zeichenfolge besteht aus Einträgen der Form "Attribut=Wert", die durch Kommas getrennt sind. Beispiel:
ou=Technik,o=Hewlett Packard,c=US
ou=Vertrieb,o=Hewlett Packard,c=US
o=hp.com
ou=Technik,cn=Benutzer,dc=hp,dc=com
In diesem Feld können mehrere Bind-Pfade angegeben werden, wobei sie durch vertikale Striche voneinander getrennt werden ('|', ASCII 0x7c). So können beispielsweise alternative LDAP-Domänen angegeben werden. Das Gerät wird für die Verbindung mit dem LDAP-Server die Pfade in der angegebenen Reihenfolge abrufen. Nachdem die Verbindung erfolgreich hergestellt wurde, wird der gleiche Pfad für die Suche nach den Benutzerinformationen verwendet.
Hinweis: |
Bei einigen LDAP-Servern muss unter Bind- und Suchpfad keine Eingabe erfolgen. In diesem Fall wird der Suchstamm voreingestellt. |
Beim Suchen der Benutzerinformationen in der LDAP-Datenbank wird der Inhalt des in diesem Feld angegebenen Attributs mit dem Benutzernamen verglichen, der während der Authentifizierung eingegeben wurde. Dieses Attribut ist in der Regel mit dem Bind-Präfix identisch.
Sobald der Gerätebenutzer in der LDAP-Datenbank gefunden wurde, kann seine E-Mail-Adresse über das im Feld E-Mail-Adresse mit Attribut von angegebene Attribut aus der Datenbank abgerufen werden. Der Anzeigename des Benutzers wird über das im Feld Name mit Attribut von angegebene LDAP-Attribut abgerufen.
Verwenden Sie die Funktion Testen, um die Gültigkeit der von Ihnen vorgenommenen Einstellungen zu überprüfen, bevor Sie sie anwenden. Wenn Sie auf diese Schaltfläche klicken, werden Sie aufgefordert, Anmeldeinformationen einzugeben, wie dies auch am Bedienfeld des Geräts der Fall wäre. Wenn die von Ihnen eingegebenen Anmeldeinformationen zur Authentifizierung führen, und die Benutzerinformationen in der LDAP-Datenbank gefunden werden, wird eine Meldung angezeigt, dass der Vorgang erfolgreich ausgeführt wurde. Andernfalls wird eine Fehlermeldung angezeigt, die angibt, warum die Authentifizierung fehlgeschlagen ist.