Felhasználói azonosítás beállítása Active Directory-hoz

csatlakozva KM eszközökön
Konica Minolta Magyarország Kft.

Készítette: Morva Rudolf

Az alábbiakban bemutatom, hogyan lehet beállítani egy KM Zeus szériás eszközt az Active Directory-
ban tárolt felhasználók azonosítására, LDAP protokollon keresztül csatlakoztatva az MFP-t az AD-hoz.

A példában a Domain Controller tulajdonságai (a szerver, amelyen az AD található):

• IP cím: 10.238.22.121
• A domain (tartomány): tesztad.szeged
• A tároló, amely a felhasználókat tartalmazza: CN=Users,DC=tesztad,DC=szeged

Néhány képernyőfotó a könnyebb értelmezéshez:

Az MFP amelyet szeretnénk beállítani az AD-ból történő azonosításra:

• Típus: BH C224E
• IP cím:10.238.22.105

Alapvetően kétféle bejelentkezési metódust tudunk használni, vagy felhasználónév/jelszó párost

adunk meg, vagy pedig a kártyánkkal azonosítjuk magunkat.

A felhasználóneveket alapértelmezésben a sAMAccountName attribútum tartalmazza az egyes

felhasználóknál, ez ebben a példában is így néz ki:

Tehát a felhasználónév most KM. A hozzá tartozó jelszó legyen 1234qwe. Ezt is elmentettük.

Ahhoz hogy a kártyás azonosítás működjön, még el kell tárolni az egyes felhasználók
kártyaazonosítóit is, ezt a uid attribútumban valósítottam meg. Egyébként is ez az alapértelmezett
lehetőség, amit a KM készülék felkínál.
Fontos hogy milyen formában tároljuk a kártyát. Most nem a kártya számára van szükségünk, hanem
arra a karaktersorozatra (MFP data), amelyet az MFP kiolvas a kártyából. Használjuk a jól ismert Ysoft
USB reader tool-t ennek kiolvasásához. Annyi a feladatunk hogy futtatjuk ezt az alkalmazást, amely
bármely SafeQ telepítőkészletben is megtalálható. Segítségképpen feltöltöttem nektek a leírás mellé
a Sharepoint-ba. Csatlakoztassatok egy USB-s kártyaolvasót a számítógéphez, majd közelítsétek a
kártyát a megszokott módon az olvasóhoz. Ezután megjelenik a kártyaszám és az előbb említett
karaktersorozat. Fontos hogy az MFP data-ból el kell hagyni a végén szereplő ’F’ karaktereket,
esetünkben tehát az utolsó 12 ’F’ karakter nélkül kell elmentenünk az MFP data-t az AD-ban, a KM
felhasználó uid attribútumába.
Ez azért kell, mert az MFP amikor kiolvassa a kártyaazonosítót, akkor ellenőrzi hogy az első 2, illetve
az utolsó karakter szám vagy sem. Ha valamelyik nem az, akkor azonosítási hibát kapunk majd.

Ha ezekkel elkészültünk és az AD-ban a felhasználók megfelelően vannak konfigurálva, akkor már

csak a KM eszközt kell beállítani:

1. Loadable driver telepítése

2. Kártyaolvasó bekapcsolása:
a. Service Mode: Stop+0+0+Stop+0+1
b. Billing Setting: Stop+9
c. Management function choice/Authentication Device 2/Card
d. MFP újraindítása
3. Web felületre belépve User Auth/Account track menüpont
4. A General Settings menüben válasszuk ki az „MFP+External Server” opciót
5. Az External Server Settings-ben állítsuk be az AD csatlakozást, többet is fel lehet venni, az
MFP bejelentkezési képernyőjén tudunk majd közülük választani. Íme a mi példánk alapján a
beállítások:
Ezután már be is tudunk lépni a készüléken, kiválasztva ezt a szervert, illetve
felhasználónév/jelszó segítségével
6. A kártyás azonosítást az „LDAP-IC Card Authentication Setting” menüpontban kell beállítani:
a. LDAP-IC Card Authentication Setting értékét „ON”-ra kell állítani, Majd OK gomb.
b. Ezután lesz egy új menüpontunk, A „Server Registration”, lépjünk át erre
c. EDIT gomb lebökése
d. A beállítások a példánk alapján az alábbiak:

e. Search Attribute: a kártyaszám attribútum

f. User Name: Acquiring opciót kell választani, majd a User Name Attribute-nál meg kell adni
a felhasználónév attribútumát (sAMAccountName), ez azért kell hogy az MFP tudja hogy
melyik felhasználóhoz társítsa a kártyát!!!
g. Ha végeztünk és ráböktünk az OK gombra, akkor visszalépve a menüben, megjelenik
egy Test Connection gomb, erre kattanva tudjuk ellenőrizni hogy tud e csatlakozni a
 gépünk az AD-hez. Amennyiben a „Completed” választ kapjuk, akkor sikeres a
csatlakozás. Máskülönben ellenőrizzük ismételten a beállításokat.
7. Még annyi teendőnk van, hogy az MFP-n állítsuk át a 135-ös switch HEX értékét 01-re,
különben nem fog működni a kártyaazonosító kiolvasása.
8. Teszteljük le a működést, egyszerűen csak érintsük a kártyánkat az olvasóhoz, ha minden
rendben, akkor automatikusan beléptet a készülék. Kártyás belépéskor nem szükséges
szervert választanunk.
9. Érdemes odafigyelni arra nehogy megfogja a 389-es TCP portot a tűzfal vagy a vírusirtó.

Nyomtatás: Természetesen a nyomtató driverek konfigurálásakor kell beállítani hogy melyik

felhasználó nevében küldje a nyomtatásokat a készülékre:

Driver menüjében Nyomtató tulajdonságai/Konfigurálás/Eszköz opció fülön a „Felhasználói

hitelesítés” opció értékét kell megváltoztatni erre: BE(MFP)+BE(Külső kiszolgáló)
Utána a driver menüjében Nyomtatási beállítások/Bázis fül/Felhasználói hitelesítás/Számlakövetés
gomb. A felugró ablakban tudjuk beállítani hogy kinek a nevében küldjük a nyomtatást. Ennek
hiányában a public nevében kapja meg a készülék a nyomtatásokat:

Még engedélyeznünk kell az ID&Print funkciót is, így bejelentkezés előtt ki tudjuk választani hogy
azonnal nyomtasson mindent a készülék vagy bejelentkezés után mi akarjuk indítani a
nyomtatásokat. Amennyiben a második opciót választjuk, úgy bejelentkezés után a
Menü/Felh.fiók/Rendszer/Azonosít&Nyomtat menüben találjuk a nyomtatásainkat.

ID&Print engedélyezése:
User auth/Account Track/User Authentication Setting/Administrative Setting
Célszerű egyszer belépni egy adott felhasználóval mielőtt először küldünk nyomtatást a nevében a
gépre, különben problémánk lehet, kifagyhat a készülék. Bejelentkezés előtt ki kell választanunk a
főképernyőn hogy kártyával azonosítjuk magunkat (Hitelesítő eszköz opció) vagy pedig
felhasználónév/jelszó segítségével (Hitelesítés külső kiszolgálón). Ha azonnal nyomtatni szeretnénk
mindent, akkor válasszuk az „Az.&Nyomt./MFP Belép” gombot, különben a sima „Belépést”:
Szkennelés: Amennyiben ki van töltve a felhasználó e-mail címe az AD-ban, akkor a szkennelés
képernyőn már látni is fogjuk az „e-mail to me” gombot. Természetesen az e-mail szkennelés
működéséhez megfelelően be kell állítani az SMTP paramétereket a készüléken.