Configurações de autenticação LDAP

Use a página Autenticação LDAP para configurar um servidor Lightweight Directory Access Protocol (LDAP) para autenticar os usuários do dispositivo (periférico multifuncional, copiadora digital ou dispositivo de envio digital). Quando a autenticação LDAP for selecionada como o Método de login de uma ou mais Funções do dispositivo na página Gerenciador de autenticação, o usuário deverá digitar no dispositivo credenciais válidas (nome de usuário e senha) para obter acesso a essas funções.

A autenticação consiste em duas partes interdependentes. Na primeira, o dispositivo verifica as credenciais do usuário junto ao servidor LDAP. Após o usuário do dispositivo ter fornecido credenciais válidas e ter sido autenticado, o dispositivo pesquisará o endereço de e-mail e o nome do usuário. Se uma das etapas falhar, o usuário não terá acesso às funções configuradas para exigir a autenticação LDAP.

Use a página Autenticação LDAP para configurar os parâmetros usados para acessar o servidor LDAP e pesquisar as informações sobre o usuário. Observe que esta página só é válida quando LDAP é selecionado como um Método de login na página Gerenciador de autenticação.

Acesso ao servidor LDAP

Método de vinculação do servidor LDAP

A configuração Método de vinculação do servidor LDAP determina como o dispositivo acessará o servidor LDAP. Entre em contato com o administrador do servidor LDAP para determinar qual método funcionará melhor para você.

• Simples - O servidor LDAP selecionado não oferece suporte a criptografia. Observe que a senha, se houver, será enviada de forma não criptografada pela rede.
• Simples em SSL - O servidor LDAP selecionado oferece suporte à criptografia usando o protocolo Secure Sockets Layer (Camada de soquete seguro) (SSL). Todos os dados, inclusive o nome de usuário e a senha, serão criptografados. O servidor LDAP deve ser configurado para oferecer suporte a SSL, inclusive a configuração de um certificado que estabeleça sua identidade. Além disso, a interface de rede do dispositivo deve ser configurada com um certificado de Autoridade de certificação (Certificate Authority, CA) para validar o servidor LDAP. O certificado CA é configurado na guia Rede da interface da Web. Em algumas configurações de servidor LDAP, um certificado de cliente também é necessário e configurado na mesma guia Rede.

Servidor LDAP

A configuração Servidor LDAP é o nome do host ou endereço IP do servidor LDAP a ser usado para autenticar os usuários do dispositivo. Ao usar o SSL, o nome ou endereço digitado neste campo deve corresponder ao nome presente no certificado que o servidor envia.

Vários servidores podem ser incluídos nesse campo separando seus endereços com um caractere de barra vertical ('|', ASCII 0x7c). Esse recurso pode ser usado, por exemplo, para especificar os servidores principal e de backup. A interface de rede só oferece suporte a um único certificado de Autoridade de certificação (Certificate Authority, CA), por isso todos os servidores LDAP da lista devem usar o mesmo CA.

Porta

A configuração Porta se refere ao número da porta TCP/IP em que o servidor está processando solicitações LDAP. Normalmente, são usadas as portas 389, para vinculações Simples, ou 636, para vinculações Simples em SSL.

 

Pesquisar credenciais

A Autenticação LDAP usa dois métodos diferentes para autenticar o usuário.

O primeiro método, chamado Utilizar credenciais do usuário do dispositivo tenta “construir” o nome distinto (Distinguished Name, DN) do usuário para fazer a autenticação (“vinculação”) no diretório LDAP. O Prefixo de DN é adicionado ao início das informações que o usuário digita no painel de controle e essa string é adicionada à string Raiz de vinculação e pesquisa. Por exemplo, um prefixo de DN de “CN” combinado à string digitada pelo usuário john.doe@nasa.gov combinada à raiz de vinculação e pesquisa OU=Engenharia,DC=NASA,DC=GOV resultará no DN de usuário CN=john.doe@nasa.gov,OU=Engenharia,DC=NASA,DC=GOV

O segundo método, chamado Utilizar credenciais de administrador tenta pesquisar o DN do usuário em vez de tentar construí-lo. Com esse método, as credenciais de administrador (DN e senha) são usadas para a vinculação inicial, e ocorre uma pesquisa do DN do usuário que está tentando fazer a autenticação. Quando o DN desse usuário retornar, o dispositivo tentará autenticar usando o valor do DN recuperado e a senha digitada pelo usuário no painel de controle do dispositivo. Se essa autenticação for bem-sucedida, o endereço de e-mail do usuário será recuperado e o acesso ao dispositivo, concedido.

O método Utilizar credenciais do usuário do dispositivo deve ser usado quando todos os usuários estiverem no mesmo lugar do diretório LDAP, e quando o primeiro termo do DN do usuário for algo que o usuário usaria normalmente para fazer a autenticação. Observe que várias raízes de vinculação e pesquisa podem ser digitadas se forem separadas pelo caractere “|” e o dispositivo tentará, de modo iterativo, autenticar o usuário utilizando cada valor da raiz de vinculação e pesquisa. Esse método poderá ser usado se os usuários estiverem localizados em poucos recipientes do diretório LDAP.

O método Utilizar credenciais de administrador deve ser usado quando os usuários estiverem em vários locais, ou quando o primeiro termo do DN do usuário não for algo com o qual cada usuário esteja familiarizado ou use para fazer autenticação em outros sistemas. Com esse método, um usuário pode ser instruído a digitar qualquer atributo LDAP exclusivo. Por exemplo, SAMAccountName ou até mesmo o telefone do usuário, o atributo TelephoneNumber.

Utilizar credenciais do usuário do dispositivo

Este método usa o Prefixo de vinculação, a string que o usuário digita no painel de controle e a Raiz de vinculação e pesquisa para construir o DN do usuário. O DN do usuário criado é usado para autenticar o usuário.

Prefixo de vinculação

A configuraçãoPrefixo de vinculação é o atributo LDAP usado para construir o Distinguished Name (Nome distinto) (DN) para autenticação. Esse prefixo é combinado com o nome de usuário digitado no painel de controle para formar o Relative Distinguished Name (Nome distinto relativo) (RDN). Os prefixos usados comumente são "CN" (de nome comum) ou "UID" (de identidade do usuário).

Utilizar credenciais de administrador

DN de administrador

Este é o nome distinto (Distinguished Name, DN) de um usuário que tem acesso de leitura ao diretório LDAP. A conta digitada aqui não precisa ter acesso administrativo ao diretório. O acesso de leitura é suficiente.

Senha do administrador

A senha do usuário cujo DN foi digitado no campo DN de administrador.

Pesquisa no banco de dados LDAP

Raiz de vinculação e pesquisa

Quando o método Utilizar credenciais do usuário do dispositivo é selecionado, o valor da Raiz de vinculação e pesquisa é usado durante ambas as etapas de autenticação. Durante a etapa de verificação das credenciais, esse valor é combinado com o RDN para construir o Nome distinto inteiro do usuário. Durante a etapa de pesquisa das informações sobre o usuário, esse valor é o DN da entrada LDAP em que começa a pesquisa.

Quando o método Utilizar credenciais de administrador é selecionado, a Raiz de vinculação e pesquisa é usada somente como uma raiz de pesquisa. A Raiz de pesquisa da base do diretório LDAP pode ser especificada e o dispositivo pesquisará toda a árvore LDAP do objeto do usuário correspondente ao nome de usuário digitado no dispositivo. 

A seqüência consiste em pares "atributo=valor", separados por vírgulas. Por exemplo:

ou=engenharia,o=Hewlett Packard,c=EUA

ou=marketing,o=Hewlett Packard,c=EUA

o=hp.com

ou=engenharia,cn=usuários,dc=hp,dc=com

Quando o método Utilizar credenciais do usuário do dispositivo é selecionado, várias raízes de vinculação podem ser digitadas neste campo separando-as com uma barra vertical ('|', ASCII 0x7c). Esse procedimento pode ser usado, por exemplo, para especificar domínios LDAP alternativos. O dispositivo tentará se vincular ao servidor LDAP usando cada raiz na ordem listada. Após executar com sucesso a vinculação, a mesma raiz é usada para pesquisar as informações do usuário do dispositivo.

Atributo LDAP correspondente à ID de login

Ao pesquisar as informações sobre o usuário do dispositivo no banco de dados LDAP, o conteúdo do atributo especificado nesse campo é comparado ao do nome de usuário digitado durante a autenticação. Esse atributo normalmente é o mesmo do Prefixo de vinculação.

Recuperar do usuário do dispositivo

endereço de e-mail usando atributo de

Depois de o usuário do dispositivo ter sido localizado no banco de dados LDAP, seu endereço de e-mail será recuperado do banco de dados utilizando o atributo LDAP especificado no campo endereço de e-mail utilizando o atributo de.

e nomear usando o atributo de

O nome de exibição do usuário é obtido com o atributo LDAP que é especificado no campo nome utilizando atributo de.

Testar

Use o recurso Testar para testar a validade das configurações antes de aplicá-las. Ao clicar nesse botão, você será solicitado a fornecer as credenciais do usuário como se estivesse fazendo login no painel de controle do dispositivo. Se as credenciais fornecidas forem autenticadas e as informações sobre o usuário forem encontradas no banco de dados LDAP, será exibida uma mensagem de sucesso. Caso contrário, será exibida uma mensagem de erro indicando a causa da falha na autenticação.