LDAP-hitelesítési beállítások

Az LDAP Authentication oldalon konfigurálhat egy olyan Lightweight Directory Access Protocol (LDAP) szervert, amellyel hitelesítheti az eszköz (multifunkciós periféria, digitális másológép vagy digitális küldő) felhasználóit. Ha a Hitelesítéskezelő oldalon valamelyik eszközfunkciónál az LDAP-hitelesítés van megadva bejelentkezési módként, az eszköz felhasználója csak abban az esetben férhet hozzá az adott funkcióhoz, ha megadja az érvényes hitelesítő adatokat (felhasználónevét és jelszavát).

A hitelesítés két, egymással összefüggő részből áll. A készülék először ellenőrzi a felhasználó hitelesítő adatait az LDAP-szerverrel. Miután a felhasználó megadta az érvényes hitelesítő adatokat, és azok ellenőrzése megtörtént, a készülék megkeresi a felhasználó e-mail címét és nevét. Ha valamelyik művelet sikertelen, a rendszer a felhasználó számára nem engedélyezi a hozzáférést azokhoz a funkciókhoz, amelyek konfigurációjuk alapján LDAP-hitelesítést kérnek.

Az LDAP-hitelesítés oldalon megadhatja azokat a paramétereket, amelyek szükségesek az LDAP-szerver eléréséhez és a felhasználói adatok kereséséhez. Ne feledje, hogy ez az oldal csak akkor elérhető, ha a Hitelesítéskezelő oldalon az LDAP lehetőség van megadva bejelentkezési módként.

Az LDAP-szerver elérése

LDAP-szerver kötési mód

Az LDAP-szerver kötési mód beállítás meghatározza, hogy az eszköz hogyan éri el az LDAP-szervert. Vegye fel a kapcsolatot az LDAP-szerver rendszergazdájával, hogy megtudhassa, melyik módszer a legmegfelelőbb Önnek.

• Egyszerű - A kijelölt LDAP-szerver nem támogatja a titkosítást. Vegye figyelembe, hogy a jelszó (ha van), a hálózatban történő küldés esetén titkosítás nélkül szerepel.
• Egyszerű - SSL-en keresztül - A kijelölt LDAP-szerver támogatja a titkosítást a Secure Sockets Layer (SSL) protokoll használatával. Minden adat, a felhasználói név és a jelszó is titkosítva lesz. Az LDAP-szervert úgy kell beállítani, hogy támogassa az SSL protokollt, beleértve egy olyan tanúsítvány konfigurálását is, amely meghatározza annak azonosítását. Az eszköz illesztőfelületét konfigurálni kell egy tanúsítványhitelesítési (Certificate Authority – CA) tanúsítvánnyal az LDAP-szerver ellenőrzéséhez. A CA tanúsítvány a webes illesztőfelület Hálózatkezelés lapján van konfigurálva. Egyes LDAP-szerverek konfigurációja esetén szükség van egy klienstanúsítványra is, amely ugyanazon a Hálózatkezelés lapon van konfigurálva.

LDAP-szerver

Az LDAP-szerver beállítás az eszköz felhasználóinak hitelesítéséhez használt LDAP-szerver gazdagépneve vagy IP-címe. SSL használata esetén az itt megadott névnek vagy címnek egyeznie kell a szerver által küldött tanúsítványban szereplő névvel.

Több szerver is megadható ebben a mezőben úgy, hogy egy függőleges vonal karakter ('|', ASCII 0x7c) beírásával elválasztja azok címeit egymástól. Ez a funkció használható például az elsődleges és a biztonsági szerver meghatározásához. A hálózati illesztőfelület csak az egyszerű tanúsítványhitelesítési (Certificate Authority – CA) tanúsítványt támogatja, ezért a listában szereplő összes LDAP-szervernek ugyanazt a CA-tanúsítványt kell használnia.

Port

A Port beállítás annak a TCP/IP portnak a számára utal, amelyen a szerver feldolgozza az LDAP kéréseket. Általában ez a 389 sz. port az Egyszerű kötések, és a 636 sz. port az Egyszerű – SSL-en keresztüli kötések esetében.

 

Hitelesítő adatok keresése

Az LDAP-hitelesítés két különböző módszert alkalmaz a felhasználó hitelesítéséhez.

Az első módszer, Az eszközfelhasználó hitelesítő adatainak használata esetében a rendszer megpróbálja „összeállítani” a felhasználó megkülönböztető nevét (DN – Distinguished Name) az LDAP-könyvtárhoz való hitelesítés („kötés”) céljából. A DN előtag hozzáadódik a felhasználó által a vezérlőpulton megadott információhoz, és ez a karaktersor kiegészíti a Kötési és keresési kiindulópont karaktersort. Például az általános név (CN ­– common name) DN előtagja a felhasználó által megadott john.doe@nasa.gov karaktersorral, illetve a OU=Engineering,DC=NASA,DC=GOV kötési és keresési kiindulóponttal kombinálva a CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV felhasználói megkülönböztetett nevet eredményezi.

A második módszer, A Rendszergazda hitelesítő adatainak használata esetén a rendszer megpróbálja megkeresni a felhasználó megkülönböztetett nevét, ahelyett, hogy összeállítaná azt. Ezzel a módszerrel a rendszergazda hitelesítő adatai (DN és jelszó) lesznek használva az elsődleges kötéshez, és a rendszer megkeresi a hitelesítéssel próbálkozó felhasználó megkülönböztetett nevét. Ha ez a felhasználói megkülönböztetett név ismét elérhető, az eszköz a felhasználó által a vezérlőpulton megadott visszakeresett DN érték és jelszó használatával megpróbálkozik a hitelesítéssel. Ha a hitelesítés sikeres, a rendszer lekéri a felhasználó e-mail címét, és a felhasználó megkapja a hozzáférést az eszközhöz.

Az eszközfelhasználó hitelesítő adatainak használata módszert kell használni akkor, ha az összes felhasználó adatai az LDAP-könyvtárnak ugyanabban a tárolójában találhatóak, és ha a felhasználó megkülönböztetett nevének első része egy olyan szó, amit a felhasználó normál esetben használna a hitelesítéshez. Ne feledje, hogy több kötési és keresési kiindulópont is megadható, ha azokat a „|” karakterrel elválasztja, és a rendszer a kötési és keresési kiindulópont minden egyes értékének felhasználásával iteratív módon megpróbálja elvégezni a felhasználó hitelesítését. Ez a módszer akkor használható, ha a felhasználók adatai az LDAP-könyvtár több tárolójában találhatóak.

A Rendszergazda hitelesítő adatainak használata módszert kell használni akkor, ha a felhasználók adatai több tárolóban találhatóak, illetve akkor, ha a felhasználó megkülönböztetett nevének első része nem egy olyan szó, amelyet minden felhasználó ismer, vagy másik rendszereken hitelesítéshez használ. Ezzel a módszerrel a rendszer kérheti a felhasználótól egyéni LDAP-attribútum megadását, mint amilyen pl. a SAMAccountName attribútum, vagy akár a felhasználó telefonszáma, a TelephoneNumber attribútum.

Az eszközfelhasználó hitelesítő adatainak használata

Ez a módszer a kötési előtagot használja, vagyis azt a karaktersort, amelyet a felhasználó megad a vezérlőpulton, illetve a kötési és keresési kiindulópontnál a felhasználó megkülönböztetett nevének összeállításához. A felhasználó megkülönböztetett neve használható a felhasználó hitelesítéséhez.

Kötési előtag

A Kötési előtag beállítás az az LDAP-attribútum, amelynek használatával összeállítható a felhasználó Megkülönböztetett neve (DN) a hitelesítéshez. Az előtag és a vezérlőpanelben megadott felhasználónév együtt megadja a Relatív megkülönböztetett nevet (Relative Distinguished Name – RDN). Gyakran használt előtag a "CN" (common name – általános név) és a "UID" (user identity – felhasználói azonosítás).

Rendszergazda hitelesítő adatainak használata

Rendszergazda megkülönböztetett neve

Ez a megkülönböztetett neve annak a felhasználónak, aki rendelkezik az LDAP-könyvtár olvasásához való hozzáféréssel. Az itt megadott fióknak nem kell rendelkeznie rendszergazdai hozzáféréssel a könyvtárhoz. Elegendő az olvasáshoz való hozzáférés is.

Rendszergazda jelszava

Annak a felhasználónak a jelszava, akinek a megkülönböztetett neve meg lett adva a Rendszergazda megkülönböztetett neve mezőben.

Keresés az LDAP adatbázisban

Kötési és keresési kiindulópont

Ha Az eszközfelhasználó hitelesítő adatainak használata módszer van kijelölve, akkor a rendszer a hitelesítés mindkét fázisa alatt a Kötési és keresési kiindulópont értéket használja. A hitelesítő adatok ellenőrzési fázisában a rendszer ezt az értéket kombinálja a Relatív megkülönböztetett névvel a felhasználó teljes megkülönböztetett nevének összeállításához. A felhasználói adatok keresésének fázisa alatt ez az érték a keresés kezdetét jelentő LDAP-bejegyzés megkülönböztetett neve.

Ha a Rendszergazda hitelesítő adatainak használata módszer van kijelölve, a Kötési és keresési kiindulópont csak keresési kiindulópontként lesz használva. Megadható az LDAP-könyvtár alapjának a keresési kiindulópontja, és az eszköz megkeresi az eszközön megadott felhasználói névhez tartozó felhasználói objektum teljes LDAP-struktúráját. 

A karaktersor veszővel elválasztott "attribútum=érték" párokból áll. Például:

ou=engineering,o=Hewlett Packard,c=US

ou=marketing,o=Hewlett Packard,c=US

o=hp.com

ou=engineering,cn=users,dc=hp,dc=com

Ha Az eszközfelhasználó hitelesítő adatainak használata módszer van kijelölve, akkor ebben a mezőben megadhat több keresési kiindulópontot is, úgy, hogy egy függőleges vonal ( „|”, ASCII 0x7c) karakter beírásával elválasztja azokat egymástól. Ez használható pl. alternatív LDAP-tartományok megadásához. Az eszköz megpróbálja létrehozni a kötést az LDAP-szerverhez az összes kiindulópont használatával, a lista szerinti sorrendben. A kötés sikeres létrehozása után a rendszer ugyanazt a kiindulópontot használja a felhasználó adatainak kereséséhez.

A bejelentkezési azonosítóhoz tartozó LDAP-attribútum

Amikor a rendszer a felhasználói adatokat keresi az LDAP-adatbázisban, összehasonlítja az ebben a mezőben megadott attribútum tartalmát a hitelesítéskor beírt felhasználói névvel. Ez az attribútum általában ugyanaz, mint a Kötési előtag .

Az eszközfelhasználó e-mail címének

e-mail cím a következő attribútum használatával:

Miután a rendszer megtalálta a felhasználó adatait az LDAP-adatbázisban, lekéri a felhasználó e-mail címét az e-mail cím a következő attribútum használatával: mezőben megadott LDAP-attribútum használatával.

és név az alábbi attribútum használatával:

A felhasználó megjelenített nevét a rendszer a név az alábbi attribútum használatával: mezőben megadott LDAP-attribútumból kéri le.

Teszt

A Teszt funkció használatával tesztelheti a beállítások érvényességét, mielőtt alkalmazná azokat. Ha rákattint erre a gombra, a rendszer kéri a felhasználói hitelesítő adatok megadását, úgy, mintha bejelentkezne a készülék vezérlőpultján. Ha a rendszer a megadott hitelesítő adatokat érvényesnek találja, és a felhasználói adatok megtalálhatóak az LDAP-adatbázisban, megjelenik egy üzenet a sikeres műveletről. Egyéb esetben egy hibaüzenet jelenik meg, amely jelzi, hogy miért nem sikerült a hitelesítés.