LDAP Kimlik Doğrulaması Ayarları

Aygıt (çok işlevli çevre birimi, dijital kopyalama veya dijital gönderme aracı) kullanıcılarının kimliğini doğrulamak üzere bir LDAP (Lightweight Directory Access Protocol) sunucusu yapılandırmak için LDAP Kimlik Doğrulaması sayfasını kullanın. Kimlik Doğrulama Yöneticisi sayfasında bir veya daha çok Aygıt İşlevleri seçeneği için Oturum Açma Yöntemi olarak LDAP kimlik doğrulaması seçildiğinde, kullanıcının, bu işlevlere erişmek amacıyla aygıtta geçerli kimlik bilgileri (kullanıcı adı ve parola) girmesi gerekir.

Kimlik doğrulaması birbirine bağlı iki bölümden oluşur. Birinci bölümde aygıt, kullanıcının kimlik bilgilerini LDAP sunucusunu kullanarak doğrular. Aygıt kullanıcısı geçerli kimlik bilgileri sağladıktan ve kimliği doğrulandıktan sonra, aygıt kullanıcının e-posta adresini ve adını arar. Bu adımlardan biri başarısız olursa, kullanıcının LDAP kimlik doğrulaması gerektirecek şekilde yapılandırılmış işlevlere erişimi engellenir.

LDAP sunucusuna erişmek ve kullanıcı bilgilerini aramak için kullanılan parametreleri ayarlamak üzere LDAP Kimlik Doğrulaması sayfasını kullanın. Bu sayfa, yalnızca Kimlik Doğrulama Yöneticisi sayfasında Oturum Açma Yöntemi olarak LDAP seçildiğinde geçerlidir.

LDAP Sunucusuna Erişim

LDAP Sunucusu Bağlama Yöntemi

LDAP Sunucusu Bağlama Yöntemi ayarı, aygıtın LDAP sunucusuna erişme yöntemini belirler. Size en uygun yöntemi belirlemek için LDAP sunucusu yöneticinize başvurun.

LDAP Sunucusu

LDAP Sunucusu ayarı, aygıt kullanıcılarının kimliğini doğrulamak için kullanılacak LDAP sunucusunun ana bilgisayar adı veya IP adresidir. SSL kullanıldığında, buraya yazılan adın veya adresin, sunucunun gönderdiği sertifikadaki adla eşleşmesi gerekir.

Bu alana, adresleri dikey çubuk ('|', ASCII 0x7c) karakteriyle ayırarak birden çok sunucu eklenebilir. Bu özellik, birincil ve yedek sunucuları belirleme gibi işlemler için kullanılabilir. Ağ arabirimi tek bir Sertifika Yetkilisi (CA) sertifikasını desteklediğinden, listedeki tüm LDAP sunucularının aynı CA sertifikasını kullanması gerekir.

Bağlantı Noktası

Bağlantı Noktası ayarı, sunucunun LDAP isteklerini işlemek üzere kullandığı TCP/IP bağlantı noktasının numarasını gösterir. Bu, genelde Basit bağlamalar için 389 ve SSL üzerinden Basit bağlamalar için 636 numaralı bağlantı noktasıdır.

 

Kimlik Bilgilerini Arama

LDAP Kimlik Doğrulaması kullanıcının kimliğini doğrulamak için iki farklı yöntem kullanır.

Aygıt Kullanıcısının Kimlik Bilgilerini Kullan olarak adlandırılan ilk yöntem, LDAP dizininde kullanıcının kimliğini doğrulamak (dizine "bağlamak") için kullanıcının DN (Ayırt Edici Ad) bilgisini "oluşturmaya" çalışır. DN Öneki, kullanıcının kontrol panelinde girdiği bilgilerin başına eklenir ve bu dize de Bağlantı ve Arama Kökü dizesine eklenir. Örneğin, kullanıcının girdiği john.doe@nasa.gov dizesiyle birleştirilen “CN” biçimindeki DN öneki, OU=Engineering,DC=NASA,DC=GOV bağlantı ve arama köküyle birleştirildiğinde, kullanıcı DN bilgisi CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV olur.

Yöneticinin Kimlik Bilgilerini Kullan olarak adlandırılan ikinci yöntem, kullanıcının DN bilgisini oluşturmaya çalışmak yerine bu bilgiyi arar. Bu yöntemde, ilk bağlama işlemi için yöneticinin kimlik bilgileri (DN ve parola) kullanılır ve kimlik doğrulaması yapmaya çalışan kullanıcının DN bilgisi aranır. Bu kullanıcının DN bilgisi döndürüldüğünde, aygıt, alınan DN değerini ve kullanıcının aygıtın kontrol panelinde girdiği parolayı kullanarak kimlik doğrulaması yapmayı dener. Bu kimlik doğrulaması başarılı olursa, kullanıcının e-posta adresi alınır ve kullanıcıya aygıta erişme izni verilir.

Aygıt Kullanıcısının Kimlik Bilgilerini Kullan yöntemi, tüm kullanıcılar LDAP dizininde aynı kapsayıcıda bulunduğunda ve kullanıcı DN'sindeki ilk terim kullanıcının genelde kimlik doğrulaması için kullandığı bir terim olduğunda kullanılmalıdır. Birden çok bağlantı ve arama kökü, “|” karakteriyle ayrılarak girilebilir ve aygıt her bağlantı ve arama kökü değerini kullanarak kullanıcının kimliğini doğrulama işlemini yineler. Bu yöntem, kullanıcılar LDAP dizininde birkaç kapsayıcıda bulunuyorsa kullanılabilir.

Yöneticinin Kimlik Bilgilerini Kullan yöntemi, kullanıcıların birden çok kullanıcı kapsayıcısında bulunduğu veya kullanıcı DN'sindeki ilk terimin kullanıcının bildiği veya başka sistemlerde kimlik doğrulamak için kullandığı bir terim olmadığı durumlarda kullanılmalıdır. Bu yöntemde, kullanıcının benzersiz bir LDAP özniteliği girmesi istenebilir; örneğin SAMAccountName veya kullanıcının telefon numarasına yönelik TelephoneNumber özniteliği.

Aygıt Kullanıcısının Kimlik Bilgilerini Kullan

Bu yöntem, Kullanıcı DN bilgisini oluşturmak için kullanıcının kontrol panelinde girdiği dizedeki Bağlantı Öneki'ni ve Bağlantı ve Arama Kökü'nü kullanır. Oluşturulan Kullanıcı DN'si kullanıcının kimliğini doğrulamak için kullanılır.

Bağlantı Öneki

Bağlantı Öneki ayarı, kullanıcının kimliğini doğrulamak için Ayırt Edici Ad (DN) bilgisini oluşturmak üzere kullanılan LDAP özniteliğidir. Bu önek, Göreli Ayırt Edici Ad (RDN) oluşturmak üzere kontrol panelinde yazılan kullanıcı adıyla birleştirilir. Genelde "CN" (genel ad için) veya "UID" (kullanıcı kimliği için) önekleri kullanılır.

Yöneticinin Kimlik Bilgilerini Kullan

Yönetici DN'si

Bu, LDAP dizinini okuma izni olan kullanıcının DN'sidir (Ayırt Edici Ad). Burada girilen hesabın dizinde yönetici erişimine sahip olması gerekmez. Okuma izni yeterlidir.

Yönetici Parolası

Yöneticisi DN'si alanına, kullanıcı DN'si bilgisi girilen kullanıcının parolası.

LDAP Veritabanında Arama

Bağlantı ve Arama Kökü

Aygıt Kullanıcısının Kimlik Bilgilerini Kullan yöntemi seçildiğinde, kimlik doğrulama işleminin her iki aşamasında da Bağlantı ve Arama Kökü değeri kullanılır. Kimlik bilgilerini doğrulama aşamasında, kullanıcının tam Ayırt Edici Ad (DN) bilgisini oluşturmak için bu değer RDN ile birleştirilir. Kullanıcı bilgilerini arama aşamasında, bu değer, aramanın başladığı LDAP girdisinin DN'sidir.

Yöneticinin Kimlik Bilgilerini Kullan yöntemi seçildiğinde, Bağlantı ve Arama Kökü yalnızca arama kökü olarak kullanılır. LDAP dizini tabanının Arama Kökü belirtilebilir ve aygıt, aygıtta girilen kullanıcı adına karşılık gelen kullanıcı nesnesine ilişkin tüm LDAP ağacını arar. 

Dize, virgülle ayrılan "öznitelik=değer" çiftlerinden oluşur. Örneğin:

ou=engineering,o=Hewlett Packard,c=US

ou=marketing,o=Hewlett Packard,c=US

o=hp.com

ou=engineering,cn=users,dc=hp,dc=com

Aygıt Kullanıcısının Kimlik Bilgilerini Kullan yöntemi seçildiğinde, bu alana, dikey çubuk ('|', ASCII 0x7c) karakteriyle ayrılarak birden çok bağlantı kökü yazılabilir. Bu, başka LDAP etki alanları belirtme gibi işlemler için kullanılabilir. Aygıt, listelenen sırayla her kökü kullanarak LDAP sunucusuna bağlanmayı dener. Bağlanma işlemi başarılı bir şekilde gerçekleştirildikten sonra aygıt kullanıcısının bilgilerini aramak için aynı kök kullanılır.

Oturum Açma Kimliğiyle Eşleşen LDAP Özniteliği

LDAP veritabanında aygıt kullanıcısının bilgileri aranırken, bu alanda belirtilen özniteliğin içindekiler kimlik doğrulaması sırasında yazılan kullanıcı adıyla karşılaştırılır. Bu öznitelik genellikle Bağlantı Öneki ile aynıdır.

Aygıt kullanıcısının

e-posta adresini alırken kullanılacak özellik

Aygıt kullanıcısı LDAP veritabanında bulunduktan sonra, kullanıcının e-posta adresi, e-posta adresini alırken kullanılacak özellik alanında belirtilen LDAP özniteliği kullanılarak veritabanından alınır.

adını alırken kullanılacak özellik

Kullanıcının görünen adı, adını alırken kullanılacak özellik alanında belirtilen LDAP özniteliğinden alınır.

Sınama

Ayarlarınızı uygulamadan önce geçerliliklerini sınamak için Sına özelliğini kullanın. Bu düğmeyi tıklattığınızda, aygıt kontrol panelinde oturum açıyormuşsunuz gibi kullanıcı kimlik bilgileri sağlamanız istenir. Sağladığınız kimlik bilgileri doğrulanır ve kullanıcı bilgileri LDAP veritabanında bulunursa, işlemin başarılı olduğunu belirten bir ileti görüntülenir. Aksi durumda, kimlik doğrulamasının başarısız olma nedenini gösteren bir hata iletisi görüntülenir.