由 LDAP 進行外部認證

 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 ) ...... 2

 其他設定 .................................................. 27
 由 LDAP 進行外部認證

以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

可以使用登記在 Active Directory® 等目錄服務 (LDAP 伺服器 ) 上的使用者部門，登入

本機。另外，根據由 LDAP 伺服器取得的郵件地址等使用者屬性資料，可分別對各使用
者的存取權限進行管理。
要使用此功能，需要對認證模式及 LDAP 伺服器的連接資訊進行設定。
補充
• 截至 2014 年 10 月 , 本機所支援 LDAP 伺服器為 Active Directory® 及 OpenLDAP 。
• 外部認證的設定，可由控制面板或者 CentreWare Internet Services 之一進行。但由於某些
項目無法由控制面板設定，所以本書以 CentreWare Internet Services 的步驟為範例進行說
明。另外，提供以作為代表性 LDAP 伺服器的 Active Directory® 的操作步驟為其參考資訊。
各情況的使用設定範例如下所述。有關設定步驟的詳情，請參照其各部分內容。

 由控制面板輸入使用者識別資料登入本機

 使用 LDAP 伺服器上使用者部門的識別資料登入本機
由控制面板輸入的使用者識別資料，保證了它在 LDAP 伺服器上對每個使用者的唯一性
，因此與其它方式相比，使用者管理更為容易。

必要設定 參照
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " （第 5 頁）
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " （第 8 頁
）
設定認證方式為 [ 直接認證 ] 。 " 設定 LDAP 伺服器的認證方式 " （第 10
頁）
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於由控制面板登入的使用者識別
性。 的 LDAP 屬性 " （第 12 頁）
設定附加給由控制面板所輸入使用者名稱 " 設定附加給由控制面板所輸入使用者名
的字尾 ( 任意 ) 。 稱的字尾 " （第 20 頁）

 使用 LDAP 伺服器上的使用者部門屬性資料登入本機
可將由控制面板輸入的使用者識別資料，設定為 LDAP 伺服器上使用者部門的任意屬性
，因此更為自由。
可輸入使用者的郵件地址登入本機。

必要設定 參照
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " （第 5 頁）
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " （第 8 頁
）
設定認證方式為 [ 使用者屬性認證 ] 。 " 設定 LDAP 伺服器的認證方式 " （第 10
頁）
設定由控制面板所輸入的 LDAP 屬性。 " 設定用於由控制面板進行使用者登入的
LDAP 屬性 " （第 11 頁）
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於由控制面板登入的使用者識別
性。 的 LDAP 屬性 " （第 12 頁）
設定附加給由控制面板所輸入使用者名稱 " 設定附加給由控制面板所輸入使用者名
的字尾 ( 任意 ) 。 稱的字尾 " （第 20 頁）

2
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

 使用使用者 IC 卡的識別資料登入本機

 僅使用 IC 卡的識別資料登入本機
僅需將 IC 卡碰觸讀卡器而無需由控制面板輸入使用者識別資料，即可登入本機。

必要設定 參照
設定 IC 卡連接 需要設定本機與 IC 卡讀卡器的連接。

參考
• 有關詳情，請參照『管理者說明
書』的第 14 章「認證與總計管理
功能」 >“IC 卡讀卡器 ( 選購
)” 。
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " （第 5 頁）
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " （第 8 頁
）
設定 [IC 卡的聯繫模式 ] 為 [ 不需要輸入 " 設定 IC 卡的聯繫模式 " （第 13 頁）
密碼 ] 。
設定支援 IC 卡的 ID 的 LDAP 屬性。 " 設定支援 IC 卡的 ID 的 LDAP 屬性 " （第
14 頁）
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於使用 IC 卡登入的使用者識別的
性。 LDAP 屬性 " （第 15 頁）

補充
• IC 卡不在身邊等情況下，需要由控制面板登入時，請設定如下之一。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " （第 2 頁）
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " （第 2 頁）

3
 由 LDAP 進行外部認證

 使用 IC 卡的識別資料與密碼登入本機
可將 IC 卡碰觸讀卡器登入本機。而由控制面板輸入密碼則可提高其安全性。

必要設定 參照
設定 IC 卡連接。 需要設定本機與 IC 卡讀卡器的連接。

參考
• 有關詳情，請參照『管理者說明
書』的第 14 章「認證與總計管理
功能」 >“IC 卡讀卡器 ( 選購
)” 。
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " （第 5 頁）
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " （第 8 頁
）
設定 [IC 卡的聯繫模式 ] 為 [ 需要輸入密 " 設定 IC 卡的聯繫模式 " （第 13 頁）
碼]。
設定支援 IC 卡的 ID 的 LDAP 屬性。 " 設定支援 IC 卡的 ID 的 LDAP 屬性 " （第
14 頁）
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於使用 IC 卡登入的使用者識別的
性。 LDAP 屬性 " （第 15 頁）

補充
• 為了將 IC 卡讀取的識別資料與由控制面板輸入的使用者識別資料同等使用，還需設定如下之
一。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " （第 2 頁）
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " （第 2 頁）

 給登入使用者賦予本機的操作權限
可以對各 LDAP 群組部門分別賦予不同的操作權限，進行靈活的安全性設定。

必要設定 參照
設定功能項目的存取。 " 功能項目的存取 " （第 16 頁）
設定 LDAP 群組部門。 " 設定 LDAP 群組部門 " （第 18 頁）

補充
• 此方式以使用者可登入本機為前提條件。請根據需要進行如下設定。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " （第 2 頁）
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " （第 2 頁）
- " 使用使用者 IC 卡的識別資料登入本機 " （第 3 頁）

4
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

由 LDAP 進行外部認證
對設定 LDAP 伺服器為外部認證系統的方法進行說明。

1 在網路瀏覽器的位址欄輸入 “http://( 本機 IP 位址 )” ，然後按下 <Enter> 鍵以啟

動 CentreWare Internet Services 。

補充
• 僅首次在 CentreWare Internet Services 上進行存取時需要操作上述 1 至 3 的步驟。
2 點選 [ 內容 ] 標籤頁面。

3 輸入機器管理者 ID 與密碼，點選 [ 確定 ] 。

5
 由 LDAP 進行外部認證

4 選擇 [ 安全性 ]>[ 認證管理 ] 。

5 選擇 [ 認證方式設定 ] 為 [ 外部認證 ] ，點選 [ 套用新的設定 ] 。

6 確認顯示訊息後點選 [ 確定 ] 。

6
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

7 雖然顯示畫面要求重新啟動本機，但可在完成所有設定後再重啟。請繼續步驟８的操
作。

8 選擇 [ 安全性 ]>[ 外部認證伺服器設定 ]>[ 認證系統 ] 。

7
 由 LDAP 進行外部認證

9 選擇 [ 認證系統設定 ] 為 [LDAP] ，點選 [ 套用新的設定 ] 。

10 如果沒有其他設定，點選 [ 重新啟動 ] 。

設定 LDAP 伺服器的連接資訊
對本機與 LDAP 伺服器連接所需資訊的設定方法進行說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 伺服器 / 目錄服務的設定 ] 。

8
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

2 在 [IP 位址 / 主機名稱及連接埠 ] 輸入操作 LDAP 伺服器的 IP 位址 ( 或主機名稱 )

和連接埠。

補充
• 如設定 [ 替換的 IP 位址 / 主機名稱及連接埠 ] ，在上述所設定伺服器因維護等而無法通信時
，則會自動切換至替換環境。請根據需要進行設定。
3 在 [ 輸入檢索起點 (DN)] 輸入作為 LDAP 伺服器使用者檢索起點的 DN 。

參考
• 有關如何確認 Active Directory® 起點 DN 的方法，請參照 P.21 。

補充
• 使用者檢索範圍限制在此所指定起點以下的層次。請指定包含登入使用者在內層次的起點。
但是，如果起點以下的層次內所包含的使用者及群組數過多，則登入本機可能會需要一段時
間。請設定適當的檢索範圍。
4 在 [ 檢索用的認證使用者 ] 選擇擁有 LDAP 伺服器檢索資格的使用者種類。

 外部認證的使用者
使用由控制面板登入使用者的資格檢索 LDAP 伺服器。
該項目僅在 “ 輸入 LDAP 伺服器上的使用者部門識別資料登入本機 ” 的情況下可用。

 機器設定
使用在步驟５所設定使用者的資格檢索 LDAP 伺服器。
在 “ 輸入 LDAP 伺服器上的使用者部門識別資料登入本機 ” 以外的情況下，請選擇此
項目。
補充
• 匿名檢索時，請選擇 [ 機器設定 ] ，並在步驟５中將 [ 檢索用登入名稱 ] 和 [ 檢索用密碼 ]
設定為空白。但是，需要設定 LDAP 伺服器許可匿名檢索。
5 在 [ 檢索用登入名稱 ] 和 [ 檢索用密碼 ] 輸入擁有 LDAP 伺服器檢索資格使用者的識
別資料。
如果在步驟４選擇 [ 外部認證的使用者 ] ，則不需要此步驟。
補充
• 通常以 DN 格式輸入登入名稱。
Active Directory® 亦許可指定顯示名稱等的屬性值。有關被許可的屬性詳情，，請參照
Microsoft 公司的官方網站。
6 如果沒有其他設定，點選 [ 重新啟動 ] 。

9
 由 LDAP 進行外部認證

設定 LDAP 伺服器的認證方式
對 LDAP 伺服器認證方式的設定方法進行說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 選擇 [ 認證方式 ] ，然後點選 [ 套用新的設定 ] 。

 直接認證
由控制面板輸入使用者唯一性的識別資料登入本機時，選擇此項。

 使用者屬性認證
由控制面板輸入任意屬性資料登入本機時，選擇此項。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

10
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

設定用於由控制面板進行使用者登入的 LDAP 屬性
作為用於由控制面板登入所需的資料，對 LDAP 伺服器上的屬性名稱的設定方法進行說
明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 在 [ 輸入使用者名稱的屬性 ] 輸入由控制面板登入時使用者所輸入資料的， LDAP 伺

服器上的屬性名稱，點選 [ 套用新的設定 ] 。
在步驟１的截屏畫面中，以要求使用者輸入 mail 屬性值的情況為範例進行說明。
補充
• 請設定保證了使用者唯一性值的屬性。

參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法，請參照 P.22 。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

11
 由 LDAP 進行外部認證

設定用於由控制面板登入的使用者識別的 LDAP 屬性
對用於 LDAP 認證的使用者屬性的設定方法進行說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 在 [ 認證用使用者名稱的屬性 ] 輸入要用於使用者識別的 LDAP 伺服器屬性名稱，然

後點選 [ 套用新的設定 ] 。
在步驟１的截屏畫面中，以使用 ”sAMAccountName” 的情況為範例進行說明。
補充
• 在本機中，使用者由控制面板登入時，將在此設定的屬性從 LDAP 伺服器取得，做為個人列印
、認證列印以及工作記錄的使用者識別碼使用。
• 請設定保證使用者唯一性值的屬性。
• 上述所設定的屬性無法從 LDAP 伺服器取得時，不能登入。
• [ 認證方式 ] 設定為 [ 直接認證 ] 時，請設定與由控制面板所輸入用於登入的使用者名稱相
同的屬性值。

參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法，請參照 P.22 。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

12
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

設定 IC 卡的聯繫模式
對使用 IC 卡登入本機時，是否要求輸入密碼的設定方法進行說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 安全性 ]>[ 認證管理

]。

2 選擇 [IC 卡的聯繫模式 ] ，然後點選 [ 套用新的設定 ] 。

該設定僅在滿足以下條件時才可變更。

IC 卡讀卡器與本機相連接。
 [ 認證方式設定 ] 被設定為 [ 不認證 ] 以外。

 不需要輸入密碼
使用 IC 卡登入時不需要輸入密碼。

 需要輸入密碼
使用 IC 卡登入時需要輸入密碼。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

13
 由 LDAP 進行外部認證

設定支援 IC 卡的 ID 的 LDAP 屬性
對使用 IC 卡登入本機時，支援 IC 卡的 ID 屬性的 LDAP 伺服器上名稱的設定方法進行
說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 在 [ 用於 IC 卡認證的屬性 ] 輸入支援 IC 卡的 ID 的 LDAP 伺服器屬性名稱，然後點

選 [ 套用新的設定 ] 。
當使用 ”displayName” 屬性時，為使其屬性值支援 IC 卡的 ID ，需要預先設定卡的
ID 為 ”displayName” 屬性。
補充
• 請設定保證了使用者唯一性值的屬性。

參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法，請參照 P.22 。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

14
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

設定用於使用 IC 卡登入的使用者識別的 LDAP 屬性

對用於使用 IC 卡登入本機的使用者識別的， LDAP 伺服器上屬性名稱的設定方法進行
說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 在 [ 網路用使用者 ID 屬性 ] 輸入要用於使用 IC 卡登入的使用者識別的 LDAP 伺服器

屬性名稱，然後點選 [ 套用新的設定 ] 。

補充
• 在本機中，使用者使用 IC 卡登入時，將在此設定的屬性從 LDAP 伺服器取得，做為個人列印
、認證列印以及工作記錄的使用者識別碼使用。
• 請設定保證了使用者唯一性值的屬性。
• 上述所設定的屬性無法從 LDAP 伺服器取得時，不能登入。

參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法，請參照 P.22 。
3 如果沒有其他設定，點選 [ 重新啟動 ] 。

15
 由 LDAP 進行外部認證

功能項目的存取
在這裡，以複印功能存取的限制方法為範例進行說明。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 安全性 ]>[ 認證管理

]。

2 點選 [ 下一畫面 ] 。
3 點選 [ 存取的項目 ] 底下的 [ 設定 …] 。

16
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

4 設定 [ 複印 ] 的存取控制。

 不限制
不限制該目標功能。

 限制 ( 顯示 )
在控制面板的目標功能上顯示帶有鑰匙標記的圖示。要使用該目標功能需要進行認證
。

 限制 ( 不顯示 )
在控制面板上不顯示該目標功能。要使用該目標功能需要進行認證。
5 對其他功能亦進行限制時，請重複步驟４的操作。
6 點選 [ 套用新的設定 ] 。
7 如果沒有其他設定，點選 [ 重新啟動 ] 。

17
 由 LDAP 進行外部認證

設定 LDAP 群組部門
在這裡，以分配複印功能存取權限的 LDAP 群組部門為範例說明設定方法。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 群組部門 ] 。

2 點選 [ 複印 ] 中的 [ 編輯 ] 。
3 在 [ 複印 ] 的 [ 群組 ] 內以 DN 格式輸入 LDAP 群組部門，點選 [ 套用新的設定 ] 。

18
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

補充
• 如果登入使用者屬於上述所設定群組，則賦予該使用者以操作權限。

參考
• 有關如何確認 Active Directory® 群組 DN 的方法，請參照 P.21 。
4 顯示處理完成畫面。
對其他功能亦進行限制時，請重複步驟１至３的操作。

19
 由 LDAP 進行外部認證

設定附加給由控制面板所輸入使用者名稱的字尾
使用者名稱的末尾為固定字串時，可預先登記各使用者的共通部分。在使用者由控制
面板輸入的使用者名稱上，統一追加已登記的字串，成為認證用的字串。請根據需要
進行設定。
例如，如果設定 “@contoso.com” 為字尾，由控制面板輸入 “user” 時，則會以
“user@contoso.com” 的字串進行認證。其設定方法如下。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 認證 ] 。

2 選擇 [ 使用者名稱追加字串的使用 ] 為 [ 使用 ] 。

20
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

3 在 [ 使用者名稱的追加字串 ] 輸入要附加給使用者名稱的字串，然後點選 [ 套用新的

設定 ] 。
4 如果沒有其他設定，點選 [ 重新啟動 ] 。

例 - 使用 Active Directory
以作為代表性 LDAP 伺服器的 Active Directory® 操作步驟為範例進行介紹。
補充
• 如果變更 Active Directory® 的設定，請事先確認其影響。

參考
• 有關 Active Directory® 的詳情，請參照 Microsoft 公司的官方網站。

如何確認 Active Directory 的 DN( 識別名稱 )

對登記在 Active Directory 的 DN( 目錄內具唯一性的物件名稱 ) 的確認方法進行說明
。

1 登入操作 Active Directory 的 Windows Server 。

2 以管理者身份啟動命令提示符。
3 輸入以下指令，檢索對象項目的 DN 。
dsquery < 物件類型 > -name < 檢索對象項目名稱 >

截屏畫面顯示輸入指令範例。
dsquery ou -name testunit
"OU=TestUnit,DC=deska,DC=local"

對於名為 “testunit” 的機構單位，可確認其 DN 為

“OU=TestUnit,DC=deska,DC=local” 。

截至 2014 年 10 月，可指定如下物件類型。

computer 目錄中符合指定檢索條件的電腦
contact 目錄中符合指定檢索條件的聯絡人
subnet 目錄中符合指定檢索條件的子網路
group 目錄中符合指定檢索條件的群組
ou 目錄中符合指定檢索條件的機構單位
site 目錄中符合指定檢索條件的網站
server 目錄中符合指定檢索條件的網域控制器
user 目錄中符合指定檢索條件的使用者

21
 由 LDAP 進行外部認證

如何確認 Active Directory 架構

對 Active Directory 上按每個使用者部門所設定屬性的確認方法進行說明。

1 登入操作 Active Directory 的 Windows Server 。

2 同時按下 <Windows> 与 <R> 鍵，打開 [ 執行 ...] 對話方塊。
3 在 [ 開啟 ] 欄位中輸入 ”mmc” ，點選 [ 確定 ] 。

4 由功能表列選擇 [ 檔案 ]>[ 新增 / 移除嵌入式管理單元 ] 。

22
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

5 在 [ 可用的嵌入式管理單元 ] 中選擇 [Active Directory 架構 ] ，點選 [ 新增 ] 後

再點選 [ 確定 ] 。

6 點選 [ 類別 ] 旁的加號按鈕，展開樹狀清單。

23
 由 LDAP 進行外部認證

7 點選左側窗格的 [user] 。

此時視窗中央所顯示項目即為使用者部門所保有的屬性總覽。在此例中，可確認其保
有 ”mail” 屬性。

如何追加部門至 Active Directory 群組

對於在 Active Directory 中向現有群組追加部門的方法進行說明。

1 登入操作 Active Directory 的 Windows Server 。

2 在登入 Windows Server 時所顯示的伺服器管理員中，選擇 [ 角色 ]>[Active
Directory 網域服務 ]>[Active Directory 使用者和電腦 ] 打開樹狀列表，檢視網域
詳情。

24
 以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )

3 右鍵點選要追加部門的群組，點選 [ 內容 ] 。

4 選擇 [ 成員 ] 標籤後，點選 [ 新增 ...] 。

25
 由 LDAP 進行外部認證

5 執行下列操作之一，點選 [ 確定 ] 。
 在 [ 輸入物件名稱來選取 ] 欄位中輸入要追加的部門名稱，點選 [ 檢查名稱 ] 。
 點選 [ 進階 ...]>[ 立即尋找 ] ，由清單選擇目標部門。

26
 其他設定

其他設定

本章介紹其他設定的操作步驟。

要對本機與 LDAP 伺服器間的通信加密

請按照如下步驟，設定 LDAPS 加密通信。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 安全性 ]>[SSL/TLS 設

定]。

27
 由 LDAP 進行外部認證

2 勾選 [LDAP—SSL/TLS 通信 ] 底下的 [ 有效 ] ，點選 [ 套用新的設定 ] 。

3 雖然顯示畫面信息要求重新啟動本機，但可在完成所有設定後再重啟。請繼續步驟４
的操作。
4 選擇 [ 網路設定 ]>[ 通訊協定設定 ]>[LDAP]>[LDAP 伺服器 / 目錄服務的設定 ] 。

5 在 [IP 位址 / 主機名稱及連接埠 ] 中輸入操作 LDAPS 的連接埠號碼，點選 [ 套用新的

設定 ] 。

補充
• 通常使用 636 號連接埠，但請確認之後再設定。
6 點選 [ 重新啟動 ] 。

28
 其他設定

要以在 Active Directory 建立了信任關係的 LDAP 伺服器使用者進行登入

以滿足如下條件的情況為範例，說明信任的網域伺服器上使用者登入本機的操作步驟
。
 網域名稱設定為 “w2k8adtest.local” 。
 在 [Active Directory 網域及信任 ] ，建立有如下信任關係。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 網路設定 ]>[ 通訊協

定設定 ]>[LDAP]>[LDAP 伺服器 / 目錄服務的設定 ] 。

29
 由 LDAP 進行外部認證

2 勾選 [Referral 的使用 ] 底下的 [ 有效 ] ，點選 [ 套用新的設定 ] 。

注意
• 由於連接伺服器的數目上限為 [Referral Hop 的上限數 ] 中所設定的數值，對於上述情況，
最多至 5 個信任伺服器可用。無法連接超過 5 個的信任伺服器。
• 對於 [ 檢索用的認證使用者 ] ，信任的 LDAP 伺服器亦需要存取權限。
• 從安全性目地考慮，如果設置了 LDAPS ，則本機無法連接非加密的伺服器。
3 點選 [ 重新啟動 ] 。

要對 LDAP 群組部門設定多個群組 DN 。
僅能指定一個 LDAP 群組部門。
但是，利用群組的從屬關係 ( 使其歸屬於某主群組的不同子群組 ) ，可將操作權限指
定給多個子群組。
請根據需要變更 LDAP 伺服器的設定。
例如，如果要賦予 A 群組和 B 群組複印操作權限，則新製作一個 C 群組，使 A 群組和 B
群組均歸屬於其子群組。通過將 C 群組 DN 設定為複印群組的方式，即可以賦予 A 群組
和 B 群組的所屬使用者複印操作權限。
補充
• 如果變更 LDAP 伺服器的設定，請事先確認其影響。
• 本機最多可支援 5 個層次的從屬關係。如超過 5 層次，第 6 層次以下的群組則不予指定權限
。

參考
• 關於如何在 Active Directory® 上追加歸屬群組部門的方法，請參照 P.24 。

30
 其他設定

登入需要一段時間；同一使用者登入時而成功時而失敗時
由於 LDAP 伺服器或網路有超載的可能性較高，通常需要對運行環境進行確認與調整。
如果是由於 LDAP 伺服器的檢索範圍太大，或者檢索範圍內所包含項目數過多而需要時
間，則請調整 [ 網路設定 ]>[ 通訊協定設定 ]>[LDAP]>[LDAP 伺服器設定 ] 底下的 [ 輸
入檢索起點 (DN)] 。
將本機與 LDAP 伺服器的通信等待時間設定為足夠長，可能會避免登入失敗。但是，由
於登入所需時間沒有縮短，所以這僅為暫行的解決方法。
可按照如下步驟設定通信等待時間。

1 在 CentreWare Internet Services 的 [ 內容 ] 標籤頁面選擇 [ 安全性 ]>[ 外部認證

伺服器設定 ]>[ 認證系統 ] 。

2 在 [ 認證應答等待時間的上限 ] 和 [ 使用者資料檢索時間的上限 ] 輸入適當的時間，

點選 [ 套用新的設定 ] 。

 認證應答等待時間的上限
設定本機要求執行 LDAP 伺服器認證時，等待伺服器應答的時間上限。
變更此數值以減輕網路負載。

 使用者資料檢索時間的上限
設定本機要求執行 LDAP 伺服器檢索時，等待伺服器應答的時間上限。
變更此數值以減輕 LDAP 伺服器負載。
3 點選 [ 重新啟動 ] 。

31
 由 LDAP 進行外部認證

32
索引

五畫

以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 ) ....................................... 2

功能項目的存取 ............................................................................. 16
由 LDAP 進行外部認證 ...................................................................... 1, 5
由控制面板輸入使用者識別資料登入本機 ........................................................ 2

六畫

同一使用者登入時而成功時而失敗時 ........................................................... 31
如何追加部門至 Active Directory 群組 ........................................................ 24
如何確認 Active Directory 的 DN( 識別名稱 ) ................................................... 21
如何確認 Active Directory 架構 .............................................................. 22

八畫

使用 IC 卡的識別資料與密碼登入本機 ........................................................... 4
使用 LDAP 伺服器上使用者部門的識別資料登入本機 ............................................... 2
使用 LDAP 伺服器上的使用者部門屬性資料登入本機 ............................................... 2
使用使用者 IC 卡的識別資料登入本機 ........................................................... 3
例 - 使用 Active Directory .................................................................. 21
其他設定 ................................................................................... 27

九畫

要以在 Active Directory 建立了信任關係的 LDAP 伺服器使用者進行登入 ........................... 29

要對 LDAP 群組部門設定多個群組 DN 。 ......................................................... 30
要對本機與 LDAP 伺服器間的通信加密 .......................................................... 27

十一畫

設定 IC 卡的聯繫模式 ........................................................................ 13
設定 LDAP 伺服器的連接資訊 ................................................................... 8
設定 LDAP 伺服器的認證方式 .................................................................. 10
設定 LDAP 群組部門 .......................................................................... 18
設定支援 IC 卡的 ID 的 LDAP 屬性 .............................................................. 14
設定用於由控制面板登入的使用者識別的 LDAP 屬性 .............................................. 12
設定用於由控制面板進行使用者登入的 LDAP 屬性 ................................................ 11
設定用於使用 IC 卡登入的使用者識別的 LDAP 屬性 ............................................... 15
設定附加給由控制面板所輸入使用者名稱的字尾 ................................................. 20

33
 十二畫

登入需要一段時間 ............................................................................31
給登入使用者賦予本機的操作權限 ...............................................................4

十三畫

僅使用 IC 卡的識別資料登入本機 ................................................................3

34
由LDAP進行外部認證

ME7591T2-1 （第1版）
2015 年 6 月
Fuji Xerox Co., Ltd. ©2015 by Fuji Xerox Co., Ltd.版權所有