Strona Uwierzytelnianie Kerberos służy do konfiguracji urządzenia (wielofunkcyjnego lub modułu dystrybucji cyfrowej) w celu uwierzytelniania użytkowników segmentu Kerberos. Jeśli na stronie Menedżer uwierzytelniania jako Metoda logowania dla co najmniej jednej Funkcji urządzenia zostanie wybrane uwierzytelnienie Kerberos, to zanim użytkownik uzyska dostęp do tych funkcji, musi wprowadzić prawidłowe dane logowania (nazwę użytkownika, hasło i segment).
Proces uwierzytelniania składa się z dwóch niezależnych etapów. W pierwszej kolejności urządzenie sprawdza dane logowania użytkownika w segmencie KDC. Po wprowadzeniu prawidłowych danych logowania przez użytkownika i jego uwierzytelnieniu urządzenie wyszukuje adres e-mail użytkownika i nazwę. Jeśli jeden z tych etapów zakończy się niepowodzeniem, urządzenie odmawia dostępu do funkcji wymagających uwierzytelniania Kerberos.
Strona Uwierzytelnianie Kerberos służy do ustawienia parametrów używanych w celu uzyskania dostępu do serwera LDAP i wyszukiwania informacji o użytkowniku. Należy pamiętać, że ustawienia na tej stronie mają zastosowanie tylko wtedy, gdy na stronie Menedżer uwierzytelniania jako Metoda logowania zostało wybrane uwierzytelnianie Kerberos w wersji 5.
Domyślny segment Kerberos jest w pełni kwalifikowaną nazwą segmentu (domeny) Kerberos.
Aby uzyskać dostęp do konfiguracji Domeny alternatywnej, należy nacisnąć przycisk Zaawansowane znajdujący się po prawej stronie obszaru Domyślny segment Kerberos. Domeny alternatywne są skojarzone z segmentem domyślnym.
Nazwa komputera serwera Kerberos może być taka sama jak nazwa domyślnego segmentu Kerberos pod warunkiem dostępnej i prawidłowo skonfigurowanej usługi DNS (Domain Name Service). Tak skonfigurowane urządzenie, w celu wyszukania w sieci pierwszego dostępnego kontrolera domen Kerberos (KDC - Kerberos Domain Controller), będzie korzystało z usługi DNS. Jeśli usługa DNS jest niedostępna, można użyć adresu IP serwera Kerberos.
Port serwera Kerberos jest domyślnym portem IP używanym przez metodę uwierzytelniania Kerberos. Domyślnym portem jest port 88, ale w zależności od środowiska sieciowego można wybrać inny. Jeśli domyślny port nie działa, należy skontaktować się z administratorem IT w celu uzyskania informacji o prawidłowym numerze portu.
Parametr Sposób łączenia się z serwerem LDAP określa sposób w jaki urządzenie uzyskuje dostęp do serwera LDAP.
Obszar konfiguracji Dane logowania służy do określenia danych, które będą używane do łączenia (uwierzytelniania) z serwerem LDAP.
Ustawienie Prefiks wiązania jest atrybutem LDAP używanym do tworzenia nazwy wyróżniającej (DN) użytkownika dla celów uwierzytelniania. Prefiks, w połączeniu z nazwą użytkownika wprowadzoną z panelu sterowania, tworzy względną nazwę wyróżniającą (RDN) tego użytkownika. Najczęściej używanymi prefiksami są: "CN" (od "common name" - nazwa wspólna) oraz "UID" (od "user identity" - tożsamość użytkownika).
Wartość Początek wyszukiwania i wiązania służy do weryfikacji danych logowania użytkownika na serwerze LDAP. Ta wartość, w połączeniu z RDN, tworzy pełną nazwę wyróżniającą (DN) użytkownika.
Ciąg składa się z par "atrybut=wartość" oddzielonych przecinkami. Na przykład:
ou=engineering,o=Hewlett Packard,c=US ou=marketing,o=Hewlett Packard,c=US o=hp.com ou=engineering,cn=users,dc=hp,dc=com
Ustawienia Prefiks wiązania i Początek wyszukiwania i wiązania są używane tylko wtedy, gdy ustawienie Sposób łączenia się z serwerem LDAP ma wartość Proste lub Proste, z wykorzystaniem protokołu SSL oraz wybrano opcję Użyj danych logowania użytkownika urządzenia.
Serwer LDAP jest zwykle taki sam jak serwer Kerberos w środowisku Windows Active Directory.
Parametr Port określa numer portu IP używanego przez protokół LDAP w celu komunikacji z serwerem LDAP. Zwykle numerem portu jest 398 lub 3268.
Parametr Początek wyszukiwania określa nazwę wyróżniającą (DN) wpisu do struktury katalogu LDAP, w którym rozpoczyna się wyszukiwanie adresu. Nazwa wyróżniająca (DN) składa się z par 'atrybut=wartość', oddzielonych przecinkami. Na przykład:
dc=Hewlett-Packard,dc=com ou=engineering,dc=northamerica,dc=Hewlett-Packard,dc=com ou=marketing,o=Hewlett Packard,c=US o=hp.com ou=engineering,cn=users,dc=hp,dc=com
Uwaga: W przypadku niektórych serwerów LDAP pole Początek wyszukiwania może pozostać puste (w takiej sytuacji jako początek wyszukiwania będzie przyjmowany jego węzeł podstawowy). W parametrze Początek wyszukiwania nie są rozróżniane wielkie i małe litery.
Po odnalezieniu użytkownika w bazie danych LDAP jest pobierany jego adres e-mail z wykorzystaniem atrybutu LDAP określonego w polu Pobierz adres e-mail użytkownika urządzenia, korzystając z atrybutu. W środowisku Windows Active Directory atrybutem tym zwykle jest mail.
Wyświetlana nazwa użytkownika jest pobierana z wykorzystaniem atrybutu LDAP określonego w polu oraz nazwę przy użyciu atrybutu. W środowisku Windows Active Directory atrybutem tym zwykle jest displayName.