使用 Kerberos 验证页面配置设备(多功能外围设备或数字发送器)以验证进入 Kerberos 领域的用户。如果在验证管理器页面将 Kerberos 验证选为一个或多个设备功能的登录方法,则设备用户必须输入有效的证书(用户名、密码和领域)才能访问这些功能。
验证由两个相关步骤组成。首先,设备将通过 KDC 来验证用户证书。设备用户提供有效证书并通过验证后,设备将搜索该用户的电子邮件地址和姓名。如果其中任一个步骤失败,用户都将被拒绝访问已配置为要求 Kerberos 验证的功能。
使用 Kerberos 验证页面设置用于访问 LDAP 服务器和搜索用户信息的参数。请注意,仅在验证管理器页面上将“Kerberos 版本 5”选为登录方法时,此页面才适用。
Kerberos 默认领域是 Kerberos 领域(域)的完全限定域名。
使用 Kerberos 默认领域字段右侧的高级按钮访问备用域配置。备用域将被映射到默认领域。
如果 DNS 服务可用(域名服务)并且配置正确,则 Kerberos 服务器主机名可与 Kerberos 默认领域相同。设备将使用 DNS 来查找网络上首个可用的 KDC(Kerberos 域控制器)。如果 DNS 不可用,则可使用 Kerberos 服务器的 IP 地址。
Kerberos 服务器端口是指 Kerberos 验证方法使用的默认 IP 端口。请注意,默认端口是 88,但在不同网络环境中可能会有所不同。如果默认端口不工作,请联系您的 IT 管理员确定适用的端口。
LDAP 服务器绑定方法可确定设备如何访问 LDAP 服务器。
证书配置部分用于确定将使用哪些证书来绑定(验证)到 LDAP 服务器。
绑定前缀设置是一个 LDAP 属性,用来构建用户可分辨名称 (DN) 以便验证。此前缀与通过控制面板键入的用户名组合在一起,从而形成相对可分辨名称 (RDN)。常用前缀有“CN”(用于常用名)或“UID”(用于用户标识)。
绑定和搜索根值用于验证用户的证书是否与 LDAP 服务器相符。此值将与 RDN 组合在一起,构成完整的用户可分辨名称 (DN)。
该字符串由“属性=值”对组成,用逗号分隔。例如:
ou=engineering,o=Hewlett Packard,c=US ou=marketing,o=Hewlett Packard,c=US o=hp.com ou=engineering,cn=users,dc=hp,dc=com
只有在 LDAP 服务器绑定方法设为简单或通过 SSL 简单验证,并且选择了使用设备用户证书的情况下,才会使用绑定前缀和绑定和搜索根设置。
在 Windows Active Directory 环境中,LDAP 服务器与 Kerberos 服务器通常是相同的。
端口是指 LDAP 协议用来与 LDAP 服务器进行通信的 IP 端口。通常是指端口 389 或端口 3268。
搜索根是指要在其中开始搜索地址的 LDAP 目录结构条目的可分辨名称 (DN)。DN 由“属性=值”对组成,用逗号隔开。例如:
dc=Hewlett-Packard,dc=com ou=engineering,dc=northamerica,dc=Hewlett-Packard,dc=com ou=marketing,o=Hewlett Packard,c=US o=hp.com ou=engineering,cn=users,dc=hp,dc=com
注:在某些 LDAP 服务器上,搜索根可以留空(此时将假定一个根节点)。搜索根不区分大小写。
在 LDAP 数据库中找到设备用户后,可以使用在使用以下属性获取设备用户的电子邮件地址字段中指定的 LDAP 属性从数据库检索用户的电子邮件地址。在 Windows Active Directory 环境中,此属性通常是 mail。
可以从在和使用以下属性的名称字段中指定的 LDAP 属性获得用户的显示名称。在 Windows Active Directory 环境中,此属性通常是 displayName。