LDAP-käyttäjän tunnistusasetukset

LDAP-käyttäjän tunnistus -sivulla määritetään LDAP (Lightweight Directory Access Protocol) -palvelin tarkistamaan laitteen (monitoimi-, digitaalikopio- tai digitaalilähetyslaite) käyttäjät. Kun LDAP-käyttäjän tunnistus on valittu joksikin todennuksenhallinnan laitetoimintojen kirjautumistavaksi, laitteen käyttäjän on annettava kelvolliset kirjautumistiedot (käyttäjätunnus ja salasana), jotta hän voi käyttää toimintoja.

Käyttäjän tunnistus koostuu kahdesta toisistaan riippuvaisesta osasta. Aluksi laite tarkistaa käyttäjän kirjautumistunnukset LDAP-palvelimesta. Kun laitteen käyttäjä on antanut kelvolliset kirjautumistunnukset, ja tiedot on tarkistettu, laite hakee käyttäjän sähköpostiosoitteen ja nimen. Jos nämä vaiheet eivät onnistu, käyttäjä ei voi käyttää toimintoja, jotka edellyttävät LDAP-käyttäjän tunnistusta.

LDAP-käyttäjän tunnistus -sivulla voit määrittää parametrit, joiden avulla muodostetaan yhteys LDAP-palvelimeen ja haetaan käyttäjän tiedot. Tämä sivu on käytössä ainoastaan, kun LDAP on valittu kirjautumistavaksi todennuksenhallintasivulla.

LDAP-palvelimen käyttäminen

LDAP-palvelimeen kirjautumisen menetelmä

LDAP-palvelimeen kirjautumisen menetelmällä määritetään, miten laite käyttää LDAP-palvelinta. Kysy paikallisen LDAP-palvelimen järjestelmänvalvojalta, mikä tapa seuraavista soveltuu parhaiten käyttöösi.

• Yksinkertainen - Valittu LDAP-palvelin ei tue salausta. Salasana, jos sellainen on käytössä, lähetetään käyttäjälle verkon kautta salaamattomana.
• Yksinkertainen SSL-yhteyden kautta - Valittu LDAP-palvelin tukee SSL (Secure Sockets Layer) -salausta. Kaikki tiedot salataan, mukaan lukien käyttäjätunnus ja salasana. LDAP-palvelin on määritettävä tukemaan SSL-protokollaa. Tällöin on myös määritettävä sertifikaatti, jonka avulla palvelin tunnistetaan. Lisäksi laitteen verkkokäyttöliittymä on määritettävä todentamaan LDAP-palvelin sertifikaatin myöntäjän sertifikaatilla. Sertifikaatti määritetään Web-käyttöliittymän Verkko-välilehdessä. Myös joissakin LDAP-palvelinkokoonpanoissa tarvitaan asiakassertifikaatti, joka määritetään Verkko-välilehdessä.

LDAP-palvelin

LDAP-palvelin-asetus on sen LDAP-palvelimen isäntänimi tai IP-osoite, jolla laitteen käyttäjät tunnistetaan. Kun käytetään SSL-protokollaa, tähän kirjoitetun nimen tai osoitteen on vastattava palvelimen lähettämää sertifikaattia.

Tähän kenttään voidaan määrittää useita palvelimia, joiden osoitteet erotetaan toisistaan pystyviivamerkillä (|, ASCII 0x7c). Tällä toiminnolla voidaan esimerkiksi määrittää ensisijaisia palvelimia ja varmuuskopiointipalvelimia. Verkkokäyttöliittymä tukee ainoastaan yhtä sertifikaatin myöntäjän sertifikaattia, joten kaikkien luettelon LDAP-palvelinten on käytettävä samaa sertifikaatin myöntäjää.

Portti

Portti-asetus viittaa sen TCP/IP-portin numeroon, jonka kautta tulevat LDAP-pyynnöt palvelin käsittelee. Tavallisesti Yksinkertainen-menetelmän yhteydessä käytetään porttia 389 ja Yksinkertainen SSL-yhteyden kautta -menetelmän yhteydessä porttia 636.

 

Käyttöoikeuksien etsintä

LDAP-käyttäjän todennuksessa käyttäjä voidaan tunnistaa kahdella eri menetelmällä.

Niistä ensimmäinen, Käytä laitteen käyttäjän käyttöoikeuksia, yrittää muodostaa käyttäjän yksilöivän nimen (Distinguished Name = DN), jotta käyttäjä voidaan tunnistaa LDAP-hakemistoon. Yksilöivä nimi -etuliite lisätään tietoihin, jotka käyttäjä antaa ohjauspaneelissa, ja tämä merkkijono lisätään Sidonnan ja etsinnän alkutaso -merkkijonoon. Jos esimerkiksi Yksilöivä nimi -etuliite CN liitetään käyttäjän antamaan merkkijonoon john.doe@nasa.gov ja tämä merkkijono lisätään Sidonnan ja etsinnän alkutaso –merkkijonoon OU=suunnittelu,DC=NASA,DC=GOV, lopullinen käyttäjän yksilöivä nimi on CN=john.doe@nasa.gov,OU=suunnittelu,DC=NASA,DC=GOV

Toinen menetelmä, Käytä järjestelmänvalvojan käyttöoikeuksia, yrittää etsiä käyttäjän yksilöivän nimen eikä yritä muodostaa sitä. Kun käytetään tätä menetelmää, järjestelmänvalvojan kirjautumistunnuksia (yksilöivä nimi ja salasana) käytetään alkusidontaan ja niiden avulla haetaan tunnistusta yrittävän käyttäjän yksilöivä nimi. Kun yksilöivä nimi löytyy, laite yrittää tunnistaa käyttäjän löytyneen DN-arvon ja sen salasanan avulla, jonka käyttäjä on antanut laitteen ohjauspaneelissa. Jos tunnistus onnistuu, laite hakee käyttäjän sähköpostiosoitteen ja käyttäjä saa laitteen käyttöoikeuden.

Käytä laitteen käyttäjän käyttöoikeuksia -menetelmää kannattaa käyttää, kun kaikkien käyttäjien tiedot ovat samassa LDAP-hakemiston säilössä ja käyttäjän yksilöivän nimen ensimmäinen osa on sama, mitä käyttäjä yleensäkin käyttää tunnistukseen. Useita sidonnan ja etsinnän alkutasoja voidaan käyttää, jos ne erotetaan toisistaan |-merkillä. Tällöin laite yrittää tunnistaa käyttäjän kunkin sidonnan ja etsinnän alkutason avulla. Tätä menetelmää voidaan käyttää, jos käyttäjien tiedot sijaitsevat muutamassa LDAP-hakemiston säilössä.

Käytä järjestelmänvalvojan käyttöoikeuksia -menetelmää kannattaa käyttää, kun käyttäjien tiedot sijaitsevat useissa käyttäjäsäilöissä, tai kun käyttäjän yksilöivän nimen ensimmäinen osa ei ole ennestään tuttu käyttäjälle tai hän ei käytä sitä tunnistukseen muissa järjestelmissä. Tällä menetelmällä käyttäjä voi saada kehotteen antaa minkä tahansa yksilöivän LDAP-attribuutin, esimerkiksi SAMAccountName-attribuutin tai jopa käyttäjän puhelinnumeron (TelephoneNumber-attribuutin).

Käytä laitteen käyttäjän käyttöoikeuksia

Tässä menetelmässä käyttäjän yksilöivä nimi muodostetaan yhdistämällä sidonnan etuliite eli merkkijono, jonka käyttäjä antaa ohjauspaneelissa, ja sidonnan ja etsinnän alkutaso. Käyttäjä tunnistetaan näistä osista muodostetun yksilöivän nimen perusteella.

Sidonnan etuliite

Sidonnan etuliite -asetus on LDAP-attribuutti, jonka avulla muodostetaan käyttäjän yksilöivä nimi (DN, Distinguished Name) tunnistusta varten. Suhteellinen yksilöivä nimi (Relative Distinguished Name, RDN) määritetään yhdistämällä etuliite ja ohjauspaneelissa kirjoitettava käyttäjätunnus. Tavallisimpia etuliitteitä ovat CN (common name, yleinen nimi) tai UID (user identity, käyttäjän tunnus).

Käytä järjestelmänvalvojan käyttöoikeuksia

Järjestelmänvalvojan yksilöivä nimi

Tämä on sellaisen käyttäjän yksilöivä nimi (DN = Distinguished Name), jolla on LDAP-hakemiston lukuoikeus. Tähän annetulla käyttäjätilillä ei tarvitse olla järjestelmänvalvojan oikeuksia hakemistoon. Lukuoikeus riittää.

Järjestelmänvalvojan salasana

Sen käyttäjän salasana, jonka yksilöivä nimi annettiin Järjestelmänvalvojan yksilöivä nimi -kenttään.

Tietojen hakeminen LDAP-tietokannasta

Sidonnan ja etsinnän alkutaso

Kun on valittu Käytä laitteen käyttäjän käyttöoikeuksia, tunnistuksen molemmissa vaiheissa käytetään sidonnan ja etsinnän alkutasoa. Kirjautumistunnusten vahvistusvaiheessa arvosta muodostetaan käyttäjän yksilöivä nimi yhdessä suhteellisen yksilöivän nimen kanssa. Käyttäjätietojen hakuvaiheessa arvo on sen LDAP-merkinnän yksilöivä nimi, josta haku aloitetaan.

Kun on valittu Käytä järjestelmänvalvojan käyttöoikeuksia, sidonnan ja etsinnän alkutasoa käytetään ainoastaan etsinnän alkutasona. LDAP-hakemiston juuren etsinnän alkutaso voidaan määrittää, ja laite etsii laitteessa annettua käyttäjätunnusta vastaavaa käyttäjää koko LDAP-hakemiston alueelta. 

Merkkijono koostuu attribuutti=arvo-pareista, jotka erotetaan toisistaan pilkulla. Esimerkiksi

ou=suunnittelu,o=Hewlett Packard,c=US

ou=markkinointi,o=Hewlett Packard,c=US

o=hp.com

ou=suunnittelu,cn=kayttajat,dc=hp,dc=com

Kun on valittu Käytä laitteen käyttäjän käyttöoikeuksia, tähän kenttään voidaan määrittää useita sidonnan alkutasoja, jotka erotetaan toisistaan pystyviivamerkillä (|, ASCII 0x7c). Näin voidaan esimerkiksi määrittää vaihtoehtoisia LDAP-toimialueita. Laite yrittää muodostaa yhteyden LDAP-palvelimeen alkutasoluettelon järjestyksessä. Kun yhteys on muodostettu, saman alkutason avulla haetaan laitteen käyttäjän tietoja.

Kirjautumistunnusta vastaava LDAP-attribuutti

Kun laitteen käyttäjän tietoja haetaan LDAP-tietokannasta, tähän kenttään määritetyn attribuutin sisältöä verrataan tunnistuksen aikana kirjoitettuun käyttäjätunnukseen. Attribuutti on tavallisesti sama kuin Sidonnan etuliite.

Palauta laitteen käyttäjän

sähköpostiosoite käyttäen attribuuttia

Kun laitteen käyttäjä on löytynyt LDAP-tietokannasta, hänen sähköpostiosoitteensa voidaan hakea tietokannasta käyttämällä sähköpostiosoite käyttäen attribuuttia -kenttään määritettyä LDAP-attribuuttia.

ja nimi käyttäen attribuuttia

Käyttäjän näyttönimi haetaan LDAP-attribuutista, joka määritetään nimi käyttäen attribuuttia -kenttään.

Testaa

Testaa-toiminnolla testataan asetusten kelvollisuus, ennen kuin asetukset otetaan käyttöön. Kun napsautat tätä painiketta, anna käyttäjän kirjautumistiedot samalla tavalla kuin kirjautuessasi laitteen ohjauspaneelista. Jos antamasi kirjautumistiedot tunnistetaan, ja käyttäjän tiedot ovat LDAP-tietokannassa, näyttöön tulee vahvistus. Muutoin näyttöön tulee virheilmoitus, jossa on tietoja siitä, miksi tunnistus epäonnistui.