LDAP 驗證設定

使用 LDAP 驗證頁面可設定輕量級目錄存取協定 (LDAP) 伺服器，讓伺服器驗證裝置 (多功能周邊設備、數位影印機或數位傳送者) 使用者。 在驗證管理員頁面上針對一或多個裝置功能將 LDAP 驗證選為登入方法時，裝置上的使用者必須輸入有效的憑證 (使用者名稱和密碼) 才能存取那些功能。

驗證包含兩個獨立的組件。 首先，裝置會使用 LDAP 伺服器驗證使用者的憑證。 當裝置使用者提供有效的憑證並通過驗證後，裝置就會搜尋使用者的電子郵件位址和名稱。 若有任何步驟失敗，系統會拒絕使用者存取已設定為需要 LDAP 驗證的功能。

使用 LDAP 驗證頁面可設定參數，該參數可用來存取 LDAP 伺服器和搜尋使用者資訊。 請注意，唯有在驗證管理員頁面上將 LDAP 選為登入方法時，才能使用此頁面。

存取 LDAP 伺服器

LDAP 伺服器連結方法

LDAP 伺服器連結方法設定可決定裝置存取 LDAP 伺服器的方式。 請洽詢您的 LDAP 伺服器管理員來決定最適合您的方法。

• 簡單 - 選擇的 LDAP 伺服器不支援加密。 請注意，若存在密碼，則會透過網路傳送未加密的密碼。
• 透過 SSL 的簡單驗證 - 選擇的 LDAP 伺服器支援使用安全通訊端層 (SSL) 通訊協定進行加密。 所有資料 (包括使用者名稱和密碼) 都會被加密。 必須將 LDAP 伺服器設定為支援 SSL，包括設定憑證來識別其身分。 此外，必須以憑證授權單位 (CA) 憑證設定裝置網路介面來驗證 LDAP 伺服器。 您可以在 Web 介面的網路標籤上設定 CA 憑證。 部份 LDAP 伺服器設定也需要用戶端憑證，您可以在相同的網路標籤上設定。

LDAP 伺服器

LDAP 伺服器設定是用來驗證裝置使用者的 LDAP 伺服器的主機名稱或 IP 位址。 使用 SSL 時，這裡所輸入的名稱或位址必須符合伺服器傳送的憑證中名稱。

您可以在這個欄位中包括多部伺服器，方法是以垂直行 ('|'，ASCII 0x7c) 字元分隔它們的位址。 例如，您可以使用這個功能來指定主要和備份伺服器。 網路介面僅支援單一「憑證授權單位 (CA)」憑證，所以清單中的所有 LDAP 伺服器都必須使用相同的 CA。

連接埠

連接埠設定會參照到伺服器上正在處理 LDAP 要求的 TCP/IP 連接埠號碼。 一般而言，簡單連結的連接埠是 389，SSL 上的簡單方法連結則是 636。

 

搜尋憑證

LDAP 驗證使用兩個不同的方法來驗證使用者。

第一個方法稱為使用裝置使用者憑證，會嘗試「建構」使用者的 DN (識別名稱)，以進行 LDAP 目錄的驗證 (「連結」)。 DN 首碼會加入使用者在控制面板上輸入的資訊開頭，並且會將此字串新增到連結與搜尋根目錄字串。 例如，DN 首碼 CN 會將使用者輸入的字串 john.doe@nasa.gov和連結與搜尋根目錄 OU=Engineering,DC=NASA,DC=GOV 相結合，從而產生使用者 DN CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV

第二個方法稱為使用管理員的憑證，會嘗試搜尋使用者的 DN 而非嘗試建構它。 利用此方法，可將管理員的憑證 (DN 和密碼) 當成初始連結，且會搜尋嘗試驗證的使用者 DN。 傳回這名使用者的 DN 時，裝置會嘗試使用擷取的 DN 值及使用者在裝置控制面上輸入的密碼進行驗證。 若通過此驗證，則會擷取使用者的電子郵件位址，也會將裝置的存取權授予使用者。

當所有使用者位於 LDAP 目錄的相同容器，且當使用者通常會使用其 DN 的第一個字詞進行驗證時，應該使用使用裝置使用者憑證方法。 請注意，您可以輸入多個連結與搜尋根目錄 (以 | 字元隔開)，且裝置將使用每個連結與搜尋根目錄值以循環驗證使用者。 若使用者位於 LDAP 目錄的新容器中，則可使用此方法。

當使用者位於多個使用者容器中、每位使用者不熟悉其 DN 的第一個字詞，或無法使用該字詞在其他系統上進行驗證時，應該使用使用管理員的憑證方法。 利用此方法，系統會提示使用者輸入任何唯一的 LDAP 屬性，例如，SAMAccountName 或甚至使用者的電話號碼 (TelephoneNumber 屬性)。

使用裝置使用者憑證

此方法可使用「連結首碼」、使用者在控制面板上輸入的字串，及「連結與搜尋根目錄」來建構「使用者 DN」。 建構的使用者 DN 可用來驗證使用者。

連結首碼

連結首碼設定是 LDAP 屬性，可用來建構使用者的識別名稱 (DN) 以進行驗證。 此首碼可與控制面板輸入的使用者名稱一起形成「相對識別名稱 (RDN)」。 一般使用的首碼是 CN (代表一般名稱) 或 UID (代表使用者身分)。

使用管理員憑證

管理員 DN

這是擁有 LDAP 目錄讀取權的使用者 DN (識別名稱)。 這裡輸入的帳戶沒有目錄的管理存取權。 讀取權已足夠。

管理員密碼

在「管理員 DN」欄位中輸入的使用者 DN 所屬的使用者之密碼。

搜尋 LDAP 資料庫

連結與搜尋根目錄

選擇使用裝置使用者的憑證方法時，會在驗證的兩個階段中使用連結與搜尋根目錄值。 在憑證驗證階段中，此值可與 RDN 一起建構使用者的完整識別名稱 (DN)。 在使用者資訊搜尋階段中，此值是搜尋起始處之 LDAP 項目的 DN。

選擇使用管理員憑證方法時，只會將連結與搜尋根目錄當成搜尋根目錄。 可指定 LDAP 目錄庫的搜尋根目錄，而且裝置將搜尋裝置上輸入的使用者名稱所對應的使用者物件之完整 LDAP 樹狀目錄。

字串包含「屬性=值」配對，以逗號分隔。 例如：

ou=engineering,o=Hewlett Packard,c=US

ou=marketing,o=Hewlett Packard,c=US

o=hp.com

ou=engineering,cn=users,dc=hp,dc=com

選擇「使用裝置使用者的憑證」方法後，可以在這個欄位中輸入多個連結根目錄，方法是以垂直行 (|，ASCII 0x7c) 字元分隔它們。 例如，您可以使用這個功能來指定備用 LDAP 網域。 裝置會依照列出的順序，嘗試使用每個根目錄來連結 LDAP 伺服器。 順利執行連結後，可使用相同的根目錄來搜尋裝置使用者的資訊。

符合登入 ID 的 LDAP 屬性

在 LDAP 資料庫中搜尋裝置使用者的資訊時，會將此欄位所指定的屬性內容，與驗證期間所輸入的使用者名稱進行比對。 此屬性通常與連結首碼相同。

擷取裝置使用者的

使用下列項目的屬性之電子郵件位址

在 LDAP 資料庫中找到裝置使用者後，會使用使用下列項目的屬性之電子郵件位址欄位所指定的 LDAP 屬性，從資料庫擷取使用者的電子郵件位址。

及使用下列項目的屬性之名稱

使用者的顯示名稱是從使用下列項目的屬性之名稱欄位所指定的 LDAP 屬性中取得。

測試

使用測試功能可先測試設定的有效性再予以套用。 按一下此按鈕時，系統會要求您提供使用者憑證，就像您在裝置控制面板上登入一樣。 如果提供的憑證通過驗證，且在 LDAP 資料庫中找到使用者資訊，畫面就會出現成功訊息。 否則，會出現錯誤訊息來指出驗證失敗的原因。