LDAP-verifieringsinställningar

Använd sidan LDAP-verifiering när du vill konfigurera en LDAP-server (Lightweight Directory Access Protocol ) att verifiera användare av enheter (mfp-enhet, digital kopiator eller digital sändningsenhet). När LDAP-verifiering väljs som inloggningsmetod för en eller flera enhetsfunktioner på sidan Verifieringshanterare, måste användaren ange giltiga inloggningsuppgifter (användarnamn och lösenord) för att få åtkomst till de funktionerna.

Verifieringen består av två oberoende delar. Först verifierar enheten användarens uppgifter mot LDAP-servern. När enhetsanvändaren har angett giltiga uppgifter och har verifierats, söker enheten efter användarens e-postadress och namn. Om något av stegen inte slutförs nekas användaren åtkomst till de funktioner som har konfigurerats för krav på LDAP-verifiering.

Använd sidan LDAP-verifiering när du vill ange parametrar som används till att få åtkomst till LDAP-servern och söka efter användarinformation. Observera att den här sidan endast gäller när LDAP väljs som inloggningsmetod på sidan Verifieringshanterare.

Åtkomst till LDAP-servern

LDAP-serverbindningsmetod

Inställningen LDAP-serverbindningsmetod avgör hur enheten får åtkomst till LDAP-servern. Rådgör med din administratör för LDAP-servern och avgör vilken metod som fungerar bäst för dig.

LDAP-server

Inställningen LDAP-server är värdnamn eller IP-adress till den LDAP-server som ska användas till att verifiera enhetsanvändare. När du använder SSL, måste namnet eller adressen som skrivits här stämma överens med namnet i certifikatet som servern sänder.

Flera servrar kan läggas till i det här fältet genom att separera adresserna med en vertikal stapel ('|', ASCII 0x7c). Den här funktionen kan t.ex. användas till att ange primära servrar och säkerhetskopieringsservrar. Nätverksgränssnittet kan endast hantera ett CA-certifikat. Det innebär att alla LDAP-servrar i listan använder samma CA.

Port

Inställningen för Port avser TCP-/IP-portnumret där servern bearbetar LDAP-förfrågningar. Det brukar vara port 389 för åtkomst till Enkel eller 636 för åtkomst till Enkel via SSL.

 

Inloggningsuppgifter för sökning

Vid LDAP-verifiering används två olika metoder för att verifiera användaren.

Syftet med den första metoden, Använd användarens inloggningsuppgifter är att försöka "skapa" användarens unika namn (DN) för verifiering ("bindning") till LDAP-katalogen. DN-prefixet läggs till i början av den information som användaren anger i kontrollpanelen, och strängen läggs till i strängen Bindnings- och sökrot . DN-prefixet "CN" kombinerat med den av användaren angivna strängen john.doe@nasa.gov kombinerat med bindnings- och sökroten OU=Engineering,DC=NASA,DC=GOV resulterar i användar-DN CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV

Syftet med den andra metoden, Använd administratörens inloggningsuppgifter är att söka efter användarens DN istället för att försöka skapa det. Med den här metoden används administratörens inloggningsuppgifter (DN och lösenord) för den inledande bindningen, och en sökning sker efter DN för den användare som försöker att verifiera. När detta användar-DN returneras, försöker enheten att verifiera med det hämtade DN-värdet och det lösenord som användaren angav på enhetens kontrollpanel. Om verifieringen slutförs utan fel hämtas användarens e-postadress och användaren ges åtkomst till enheten.

Metoden Använd användarens inloggningsuppgifter bör användas när alla användare finns i samma behållare i LDAP-katalogen, och när den första termen i användar-DN är något som användaren normalt skulle använda för att verifiera. Observera att flera bindnings- och sökrötter får anges om de avgränsas med tecknet "|" och enheten kommer att göra upprepade försök att verifiera användaren med vart och ett av bindnings- och sökrotvärdena. Metoden kan användas om användarna finns i några få behållare i LDAP-katalogen.

Metoden Använd administratörens inloggningsuppgifter bör användas när användarna finns i flera användarbehållare, eller när den första termen i användar-DN inte är något som alla användare känner till eller använder vid verifiering på andra system. Med den här metoden kan användaren uppmanas att ange vilket unikt LDAP-attribut som helst, t.ex. SAMAccountName eller t.o.m. användarens telefonnummer, attributet TelephoneNumber.

Använd användarens inloggningsuppgifter

Med den här metoden används bindningsprefixet, den sträng som användaren anger i kontrollpanelen, och bindnings- och sökroten för att skapa användar-DN. Det användar-DN som skapats används för att verifiera användaren.

Bindningsprefix

Inställningen Bindningsprefix är det LDAP-attribut som används till att skapa användarens särskiljande namn för verifiering. Prefixet kombineras med det användarnamn som angetts på kontrollpanelen, och bildar då det relativa särskiljande namnet (RDN). Vanliga prefix är "CN" (för gemensamt namn) eller "UID" (för användaridentitet).

Använd administratörens inloggningsuppgifter

Administratörs-DN

Administratörs-DN är det unika namnet (DN) för en användare som har läsåtkomst till LDAP-katalogen. Det konto som anges här behöver inte ha administrativ åtkomst till katalogen. Läsåtkomst räcker.

Administratörslösenord

Lösenordet för den användare vars användar-DN angetts i fältet Administratörs-DN.

Söka igenom LDAP-databasen

Bindnings- och sökrot

När metoden Använd användarens inloggningsuppgifter väljs, används värdet Bindnings- och sökrot under båda verifieringsfaserna. Under verifieringsfasen av uppgifterna kombineras det här värdet med det relativa särskiljande namnet, och bildar då användarens fullständiga särskiljande namn (DN). Under fasen för sökning av användarinformation, är det här värdet det särskiljande namnet i LDAP-posten där sökningen påbörjas.

När metoden Använd administratörens inloggningsuppgifter väljs, används Bindnings- och sökrot endast som en sökrot. Sökroten för basen av LDAP-katalogen kan anges, och enheten söker i hela LDAP-trädet efter det användarobjekt som motsvarar det användarnamn som angetts. 

Den här strängen består av "attribut=värde"-par, som avskiljs med kommatecken. Ett exempel:

ou=engineering,o=Hewlett Packard,c=US

ou=marketing,o=Hewlett Packard,c=US

o=hp.com

ou=engineering,cn=users,dc=hp,dc=com

När metoden Använd användarens inloggningsuppgifter används, kan flera bindningsrötter läggas till i det här fältet genom att separera dem med en vertikal stapel ('|', ASCII 0x7c). Det här kan t.ex. användas till att ange alternativa LDAP-domäner. Enheten försöker binda till LDAP-servern med hjälp av varje rot i den ordning som de visas. Efter att bindningen utförts används samma rot för sökning efter användarinformation på enheten.

LDAP-attribut som matchar inloggnings-ID:t

När du söker efter användarens enhetsinformation i LDAP-databasen, jämförs innehållet i attributet som angavs i det här fältet med användarnamnet som angavs under verifieringen. Attributet brukar vara detsamma som Bindningsprefixet.

Hämta enhetsanvändarens

e-postadress med attributet

När enhetsanvändaren har hittats i LDAP-databasen kan du hämta hans/hennes e-postadress från databasen med det LDAP-attribut som anges i fältet e-postadress med attributet.

och ange namn med attributet för

Användarens visningsnamn fås från LDAP-attributet som anges i fältet namnet med attributet

Testa

Använd funktionen Testa till att testa att dina inställningar fungerar som de ska innan du tillämpar dem. När du klickar på den här knappen ombeds du att ange användaruppgifter som när du loggar in från enhetens kontrollpanel. Om de uppgifter du anger verifieras och användarinformation hittas i LDAP-databasen, visas ett meddelande om att åtgärden lyckades. Annars visas felmeddelande om varför verifieringen misslyckades.