Konfigurieren Sie über die Seite Kerberos-Authentifizierung das Gerät (Multifunktionsgerät oder Digital Sender), um Benutzer für einen Kerberos-Bereich zu authentifizieren. Wenn die Kerberos-Authentifizierung als Anmeldemethode für eine oder mehrere Gerätefunktionen auf der Seite Authentifizierungsmanager ausgewählt wird, muss der Benutzer auf dem Gerät gültige Anmeldeinformationen (Benutzername, Kennwort und Bereich) eingeben, um auf diese Funktionen zugreifen zu können.
Die Authentifizierung besteht aus zwei voneinander abhängigen Bestandteilen. Das Gerät überprüft zunächst mit Hilfe des KDC (Kerberos Domain Controller) die Anmeldeinformationen des Benutzers. Nachdem der Benutzer des Geräts gültige Anmeldeinformationen eingegeben hat und die Authentifizierung erfolgt ist, sucht das Gerät nach der E-Mail-Adresse und dem Namen des Benutzers. Wenn einer dieser Schritte fehlschlägt, wird dem Benutzer der Zugriff auf Funktionen, für die eine Kerberos-Authentifizierung erforderlich ist, verweigert.
Über die Seite Kerberos-Authentifizierung können Sie die Parameter festlegen, die für den Zugriff auf den LDAP-Server und für die Suche nach Benutzerinformationen verwendet werden. Diese Seite gilt nur, wenn Kerberos Version 5 als Anmeldemethode auf der Seite Authentifizierungsmanager ausgewählt wird.
Der Kerberos-Standardbereich ist der vollständig qualifizierte Domänenname des Kerberos-Bereichs (Domäne).
Klicken Sie rechts neben dem Feld Kerberos-Standardbereich auf Erweitert, um auf die Konfiguration für die alternative Domäne zuzugreifen. Alternative Domänen werden dem Standardbereich zugeordnet.
Der Kerberos-Server-Hostname kann mit dem Namen des Kerberos-Standardbereichs identisch sein, wenn ein DNS-Dienst (Domain Name Service) verfügbar ist und ordnungsgemäß konfiguriert wurde. Das Gerät sucht mit dem DNS nach dem ersten verfügbaren KDC im Netzwerk. Wenn der DNS nicht verfügbar ist, wird möglicherweise die IP-Adresse des Kerberos-Servers verwendet.
Der Kerberos-Serveranschluss ist der von der Kerberos-Authentifizierungsmethode verwendete Standard-IP-Anschluss. Als Standard wird Anschluss 88 verwendet, was jedoch je nach Netzwerkumgebung unterschiedlich sein kann. Wenden Sie sich an Ihren IT-Administrator, um den entsprechenden Anschluss zu ermitteln, falls der Standardanschluss nicht funktioniert.
Mit der LDAP Server Bind-Methode wird der Zugriff des Geräts auf den LDAP-Server festgelegt.
Im Konfigurationsabschnitt Anmeldeinformationen wird definiert, welche Anmeldeinformationen für die Verbindung (Authentifizierung) mit dem LDAP-Server verwendet werden.
Bei der Einstellung Bind-Präfix handelt es sich um das LDAP-Attribut, das für das Erstellen des Distinguished Name (eindeutiger Name, DN) für die Authentifizierung des Benutzers verwendet wird. Dieses Präfix wird mit dem Benutzernamen kombiniert, der am Bedienfeld des Geräts eingegeben wird, um den Relative Distinguished Name (relativer eindeutiger Name, RDN) zu bilden. In der Regel wird als Präfix "CN" für "Allgemeiner Name" (Common Name) oder "UID" für "Benutzerkennung" (User Identity) verwendet.
Der Wert Bind- und Suchpfad wird zum Überprüfen der Anmeldeinformationen des Benutzers auf dem LDAP-Server verwendet. Dieser Wert wird mit dem RDN zum vollständigen und eindeutigen Name (DN) des Benutzers kombiniert.
Die Zeichenfolge besteht aus Einträgen der Form "Attribut=Wert", die durch Kommas getrennt sind. Beispiel:
ou=Technik,o=Hewlett Packard,c=US ou=Vertrieb,o=Hewlett Packard,c=US o=hp.com ou=Technik,cn=Benutzer,dc=hp,dc=com
Die Einstellungen Bind-Präfix und Bind- und Suchpfad werden nur verwendet, wenn die LDAP Server Bind-Methode auf Einfach oder Einfach über SSL eingestellt ist und Anmeldeinformationen des Gerätebenutzers verwenden ausgewählt wurde.
Der LDAP-Server ist in der Regel mit dem Kerberos-Server in der Windows Active Directory-Umgebung identisch.
Der Anschluss ist der vom LDAP-Protokoll verwendete IP-Anschluss, über den mit dem LDAP-Server kommuniziert wird. Dies ist in der Regel Anschluss 389 oder 3268.
Bei Suchpfad handelt es sich um den DN (Distinguished Name, eindeutiger Name) des Eintrags in der LDAP-Verzeichnisstruktur, bei dem die Suche beginnen soll. Ein DN besteht aus kommagetrennten 'Attribut=Wert'-Paaren. Beispiel:
dc=Hewlett-Packard,dc=com ou=Technik,dc=Nordamerika,dc=Hewlett-Packard,dc=com ou=Vertrieb,o=Hewlett Packard,c=US o=hp.com ou=Technik,cn=Benutzer,dc=hp,dc=com
Hinweis: Bei einigen LDAP-Servern muss unter Suchpfad keine Eingabe erfolgen. (In diesem Fall wird der Suchstamm voreingestellt.) Die Groß-/Kleinschreibung wird beim Suchpfad nicht beachtet.
Sobald der Gerätebenutzer in der LDAP-Datenbank gefunden wurde, kann seine E-Mail-Adresse über das im Feld E-Mail-Adresse des Gerätebenutzers abrufen mit Attribut angegebene Attribut aus der Datenbank abgerufen werden. In der Windows Active Directory-Umgebung ist dieses Attribut in der Regel mail.
Der Anzeigename des Benutzers wird über das im Feld und Name mit Attribut von angegebene LDAP-Attribut abgerufen. In der Windows Active Directory-Umgebung ist dieses Attribut in der Regel displayName.