Indstillinger for LDAP-godkendelse

Brug siden LDAP-godkendelse til at konfigurere en LDAP-server (Lightweight Directory Access Protocol), så brugerne af enheden (multifunktionsmaskine, digital kopimaskine eller digital sender) skal godkendes. Hvis der vælges LDAP-godkendelse som logonmetode for en eller flere enhedsfunktioner på siden Godkendelsesstyring, skal brugeren af enheden indtaste gyldige legitimationsoplysninger (brugernavn og adgangskode) for at få adgang til de pågældende funktioner.

Godkendelsen består af to indbyrdes afhængige dele. Først kontrollerer enheden brugerens legitimationsoplysninger på LDAP-serveren. Når enhedsbrugeren har indtastet gyldige legitimationsoplysninger og er blevet godkendt, søger enheden efter brugerens e-mail-adresse og navn. Hvis et af trinene mislykkes, nægtes brugeren adgang til de funktioner, der er blevet konfigureret til at kræve LDAP-godkendelse.

Brug siden LDAP-godkendelse til at konfigurere de parametre, der skal anvendes for at få adgang til LDAP-serveren, og som bruges til at søge efter brugeroplysninger. Bemærk, at siden kun gælder, når der er valgt LDAP som logonmetode på siden Godkendelsesstyring.

Adgang til LDAP-serveren

Bind-metode for LDAP-server

Indstillingen Bind-metode for LDAP-server bestemmer, hvordan enheden får adgang til LDAP-serveren. Spørg administratoren af LDAP-serveren om, hvilken metode der er bedst for dig.

LDAP-server

Indstillingen LDAP-server er værtsnavnet eller IP-adressen på den LDAP-server, der skal anvendes til godkendelse af enhedens brugere. Til SSL skal det navn eller den adresse, der skrives her, svare til navnet i det certifikat, serveren sender.

Der kan indsættes flere servere i dette felt ved at adskille deres adresser med en lodret streg ('|', ASCII 0x7c). Denne funktion kan f.eks. bruges til at angive primære servere og backup-servere. Netværksgrænsefladen understøtter kun et enkelt CA-certifikat, så alle LDAP-serverne på listen skal anvende samme CA.

Port

Indstillingen for Port refererer til det TCP/IP-portnummer, som serveren behandler LDAP-forespørgsler på. Det er typisk port 389 for Simpel binding eller 636 for Simpel-protokol via SSL-binding.

Søg efter legitimationsoplysninger

LDAP-godkendelse anvender to forskellige metoder til at godkende brugeren.

Den første metode kaldes Brug enhedsbrugerens oplysninger, og den forsøger at "konstruere" brugerens entydige navn (DN - Distinguished Name) med henblik på godkendelse ("binding") til LDAP-mappen. Der tilføjes et DN-præfiks i begyndelsen af de oplysninger, som brugeren indtaster på kontrolpanelet, og denne streng tilføjes til strengen Bind- og søgerod. DN-præfikset "CN" kombineret med brugerens indtastede streng john.doe@nasa.gov kombineret med bind- og søgeroden OU=Engineering,DC=NASA,DC=GOV vil f.eks. give bruger-DN'et CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV

Den anden metode kaldes Brug administratorens oplysninger, og den forsøger at søge efter brugerens DN i stedet for at forsøge at konstruere det. Med denne metode anvendes administratorens legitimationsoplysninger (entydigt navn og adgangskode) som det første bind, og der foretages en søgning efter DN på den bruger som forsøger at opnå godkendelse. Når bruger-DN'et returneres, vil enheden forsøge at foretage godkendelse ved at bruge den hentede DN-værdi og adgangskode, som brugeren har indtastet på kontrolpanelet. Hvis godkendelsen lykkes, hentes brugerens e-mail-adresse, og brugeren får adgang til enheden.

Metoden Brug enhedsbrugerens oplysninger skal bruges, når alle brugere findes på den samme placering i LDAP-mappen, og når det første element i brugerens DN er noget, som brugeren normalt vil bruge til godkendelse. Bemærk, at der kan indtastes flere bind- og søgerødder, hvis de adskilles af tegnet "|", og enheden vil uophørligt forsøge at godkende brugeren ved hjælp af en af værdierne for bind- og søgeroden. Denne metode kan anvendes, hvis brugerne findes på nogle få placeringer i LDAP-mappen.

Metoden Brug administratorens oplysninger skal anvendes, hvis brugerne er placeret i grupper med flere brugere, eller hvis det første element i brugerens entydige navn ikke er noget, som hver bruger er bekendt med eller bruger til at opnå godkendelse på andre systemer. Med denne metode kan en bruger blive bedt om at indtaste en unik LDAP-attribut, f.eks. SAMAccountName eller evt. brugerens telefonnummer, attributten TelephoneNumber.

Brug enhedsbrugerens oplysninger

Denne metode anvender bind-præfikset, den streng, som brugeren indtaster på kontrolpanelet, og bind- og søgeroden til at konstruere bruger-DN'et. Det konstruerede bruger-DN anvendes til at godkende brugeren.

Bind-præfiks

Indstillingen Bind-præfiks er den LDAP-attribut, der bruges til at oprette brugerens entydige navn (DN - Distinguished Name) i forbindelse med godkendelse. Dette præfiks kombineres med det brugernavn, der skrives på kontrolpanelet, så de tilsammen danner et relativt entydigt navn (RDN - Relative Distinguished Name ). Almindeligt brugte præfikser er "CN" (for common name/almindeligt navn) eller "UID" (for user identity/brugeridentitet).

Brug administratorens oplysninger

Administrator-DN

Dette er det entydige navn (DN - Distinguished Name) for en bruger, som har skrivebeskyttet adgang til LDAP-mappen. Den konto, der indtastes her, skal ikke nødvendigvis have adgang med administratorrettigheder til mappen. Skrivebeskyttet adgang er tilstrækkeligt.

Administratoradgangskode

Adgangskoden for den bruger, hvis bruger-DN blev indtastet i feltet Administrator-DN.

Søge i LDAP-databasen

Bind- og søgerod

Hvis metoden Brug enhedsbrugerens oplysninger vælges, anvendes værdien for Bind- og søgerod under begge godkendelsesfaser. I godkendelsesfasen af brugeroplysningerne sættes værdien sammen med RDN'et for at oprette brugerens fulde entydige navn ( DN - Distinguished Name). I fasen med søgning efter brugeroplysninger er værdien lig med DN for den LDAP-indgang, hvor søgningen starter.

Hvis metoden Brug administratorens oplysninger vælges, bruges bind- og søgeroden kun som en søgerod. Søgeroden for basen for LDAP-mappen kan angives, og enheden vil søge i hele LDAP-træet efter det brugerobjekt, der svarer til det brugernavn, der blev indtastet på enheden.

Strengen består af "attribut=værdi"-par, som er adskilt af kommaer, f.eks.:

ou=elektronik,o=Hewlett Packard,c=USA

ou=marketing,o=Hewlett Packard,c=USA

o=hp.com

ou=elektronik,cn=brugere,dc=hp,dc=com

Når metoden Brug enhedsbrugerens oplysninger vælges, kan der angives flere bind-rødder i dette felt ved at adskille dem med en lodret streg ('|', ASCII 0x7c). Det kan f.eks. bruges til at angive alternative LDAP-domæner. Enheden forsøger at oprette binding til LDAP-serveren med hver rod og i den angivne rækkefølge. Når bindingen lykkes, bruges samme rod til at søge efter oplysninger om enhedsbrugeren.

LDAP-attribut, der svarer til logon-ID

Ved søgning efter enhedsbrugerens oplysninger i LDAP-databasen bliver attributtens indhold, som er angivet i dette felt, sammenlignet med det brugernavn, der blev indtastet i forbindelse med godkendelsen. Attributten er som regel den samme som Bind-præfikset.

Hent enhedsbrugerens

e-mail-adresse med attributten

Når enhedsbrugeren er blevet fundet i LDAP-databasen, kan vedkommendes e-mail-adresse hentes fra databasen ved hjælp af den LDAP-attribut, der er angivet i feltet e-mail-addresse med attributten

og navn med attributten

Brugerens visningsnavn hentes fra LDAP-attributten, der er angivet i feltet navn med attributten.

Test

Brug funktionen Test til at teste, om dine indstillinger er gyldige, inden du anvender dem. Når du klikker på denne knap, bliver du bedt om at angive brugeroplysninger på samme måde, som når du logger på via enhedens kontrolpanel. Hvis de angivne brugerlegitimationsoplysninger godkendes, og brugeroplysningerne bliver fundet i LDAP-databasen, vises en meddelelse om, at handlingen er lykkedes. Ellers vises der en fejlmeddelelse om, hvorfor godkendelsen mislykkedes.