Professional Documents
Culture Documents
Ldap Guide TC
Ldap Guide TC
由控制面板輸入使用者識別資料登入本機
使用 LDAP 伺服器上使用者部門的識別資料登入本機
由控制面板輸入的使用者識別資料,保證了它在 LDAP 伺服器上對每個使用者的唯一性
,因此與其它方式相比,使用者管理更為容易。
必要設定 參照
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " (第 5 頁)
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " (第 8 頁
)
設定認證方式為 [ 直接認證 ] 。 " 設定 LDAP 伺服器的認證方式 " (第 10
頁)
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於由控制面板登入的使用者識別
性。 的 LDAP 屬性 " (第 12 頁)
設定附加給由控制面板所輸入使用者名稱 " 設定附加給由控制面板所輸入使用者名
的字尾 ( 任意 ) 。 稱的字尾 " (第 20 頁)
使用 LDAP 伺服器上的使用者部門屬性資料登入本機
可將由控制面板輸入的使用者識別資料,設定為 LDAP 伺服器上使用者部門的任意屬性
,因此更為自由。
可輸入使用者的郵件地址登入本機。
必要設定 參照
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " (第 5 頁)
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " (第 8 頁
)
設定認證方式為 [ 使用者屬性認證 ] 。 " 設定 LDAP 伺服器的認證方式 " (第 10
頁)
設定由控制面板所輸入的 LDAP 屬性。 " 設定用於由控制面板進行使用者登入的
LDAP 屬性 " (第 11 頁)
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於由控制面板登入的使用者識別
性。 的 LDAP 屬性 " (第 12 頁)
設定附加給由控制面板所輸入使用者名稱 " 設定附加給由控制面板所輸入使用者名
的字尾 ( 任意 ) 。 稱的字尾 " (第 20 頁)
2
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
使用使用者 IC 卡的識別資料登入本機
僅使用 IC 卡的識別資料登入本機
僅需將 IC 卡碰觸讀卡器而無需由控制面板輸入使用者識別資料,即可登入本機。
必要設定 參照
設定 IC 卡連接 需要設定本機與 IC 卡讀卡器的連接。
參考
• 有關詳情,請參照『管理者說明
書』的第 14 章「認證與總計管理
功能」 >“IC 卡讀卡器 ( 選購
)” 。
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " (第 5 頁)
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " (第 8 頁
)
設定 [IC 卡的聯繫模式 ] 為 [ 不需要輸入 " 設定 IC 卡的聯繫模式 " (第 13 頁)
密碼 ] 。
設定支援 IC 卡的 ID 的 LDAP 屬性。 " 設定支援 IC 卡的 ID 的 LDAP 屬性 " (第
14 頁)
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於使用 IC 卡登入的使用者識別的
性。 LDAP 屬性 " (第 15 頁)
補充
• IC 卡不在身邊等情況下,需要由控制面板登入時,請設定如下之一。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " (第 2 頁)
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " (第 2 頁)
3
由 LDAP 進行外部認證
使用 IC 卡的識別資料與密碼登入本機
可將 IC 卡碰觸讀卡器登入本機。而由控制面板輸入密碼則可提高其安全性。
必要設定 參照
設定 IC 卡連接。 需要設定本機與 IC 卡讀卡器的連接。
參考
• 有關詳情,請參照『管理者說明
書』的第 14 章「認證與總計管理
功能」 >“IC 卡讀卡器 ( 選購
)” 。
設定外部認證 LDAP 。 " 由 LDAP 進行外部認證 " (第 5 頁)
設定 LDAP 伺服器的連接資訊。 " 設定 LDAP 伺服器的連接資訊 " (第 8 頁
)
設定 [IC 卡的聯繫模式 ] 為 [ 需要輸入密 " 設定 IC 卡的聯繫模式 " (第 13 頁)
碼]。
設定支援 IC 卡的 ID 的 LDAP 屬性。 " 設定支援 IC 卡的 ID 的 LDAP 屬性 " (第
14 頁)
設定在本機中用於使用者識別的 LDAP 屬 " 設定用於使用 IC 卡登入的使用者識別的
性。 LDAP 屬性 " (第 15 頁)
補充
• 為了將 IC 卡讀取的識別資料與由控制面板輸入的使用者識別資料同等使用,還需設定如下之
一。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " (第 2 頁)
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " (第 2 頁)
給登入使用者賦予本機的操作權限
可以對各 LDAP 群組部門分別賦予不同的操作權限,進行靈活的安全性設定。
必要設定 參照
設定功能項目的存取。 " 功能項目的存取 " (第 16 頁)
設定 LDAP 群組部門。 " 設定 LDAP 群組部門 " (第 18 頁)
補充
• 此方式以使用者可登入本機為前提條件。請根據需要進行如下設定。
- " 使用 LDAP 伺服器上使用者部門的識別資料登入本機 " (第 2 頁)
- " 使用 LDAP 伺服器上的使用者部門屬性資料登入本機 " (第 2 頁)
- " 使用使用者 IC 卡的識別資料登入本機 " (第 3 頁)
4
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
由 LDAP 進行外部認證
對設定 LDAP 伺服器為外部認證系統的方法進行說明。
補充
• 僅首次在 CentreWare Internet Services 上進行存取時需要操作上述 1 至 3 的步驟。
2 點選 [ 內容 ] 標籤頁面。
3 輸入機器管理者 ID 與密碼,點選 [ 確定 ] 。
5
由 LDAP 進行外部認證
6 確認顯示訊息後點選 [ 確定 ] 。
6
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
7 雖然顯示畫面要求重新啟動本機,但可在完成所有設定後再重啟。請繼續步驟8的操
作。
7
由 LDAP 進行外部認證
10 如果沒有其他設定,點選 [ 重新啟動 ] 。
設定 LDAP 伺服器的連接資訊
對本機與 LDAP 伺服器連接所需資訊的設定方法進行說明。
8
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
補充
• 如設定 [ 替換的 IP 位址 / 主機名稱及連接埠 ] ,在上述所設定伺服器因維護等而無法通信時
,則會自動切換至替換環境。請根據需要進行設定。
3 在 [ 輸入檢索起點 (DN)] 輸入作為 LDAP 伺服器使用者檢索起點的 DN 。
參考
• 有關如何確認 Active Directory® 起點 DN 的方法,請參照 P.21 。
補充
• 使用者檢索範圍限制在此所指定起點以下的層次。請指定包含登入使用者在內層次的起點。
但是,如果起點以下的層次內所包含的使用者及群組數過多,則登入本機可能會需要一段時
間。請設定適當的檢索範圍。
4 在 [ 檢索用的認證使用者 ] 選擇擁有 LDAP 伺服器檢索資格的使用者種類。
外部認證的使用者
使用由控制面板登入使用者的資格檢索 LDAP 伺服器。
該項目僅在 “ 輸入 LDAP 伺服器上的使用者部門識別資料登入本機 ” 的情況下可用。
機器設定
使用在步驟5所設定使用者的資格檢索 LDAP 伺服器。
在 “ 輸入 LDAP 伺服器上的使用者部門識別資料登入本機 ” 以外的情況下,請選擇此
項目。
補充
• 匿名檢索時,請選擇 [ 機器設定 ] ,並在步驟5中將 [ 檢索用登入名稱 ] 和 [ 檢索用密碼 ]
設定為空白。但是,需要設定 LDAP 伺服器許可匿名檢索。
5 在 [ 檢索用登入名稱 ] 和 [ 檢索用密碼 ] 輸入擁有 LDAP 伺服器檢索資格使用者的識
別資料。
如果在步驟4選擇 [ 外部認證的使用者 ] ,則不需要此步驟。
補充
• 通常以 DN 格式輸入登入名稱。
Active Directory® 亦許可指定顯示名稱等的屬性值。有關被許可的屬性詳情,,請參照
Microsoft 公司的官方網站。
6 如果沒有其他設定,點選 [ 重新啟動 ] 。
9
由 LDAP 進行外部認證
設定 LDAP 伺服器的認證方式
對 LDAP 伺服器認證方式的設定方法進行說明。
直接認證
由控制面板輸入使用者唯一性的識別資料登入本機時,選擇此項。
使用者屬性認證
由控制面板輸入任意屬性資料登入本機時,選擇此項。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
10
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
設定用於由控制面板進行使用者登入的 LDAP 屬性
作為用於由控制面板登入所需的資料,對 LDAP 伺服器上的屬性名稱的設定方法進行說
明。
參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法,請參照 P.22 。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
11
由 LDAP 進行外部認證
設定用於由控制面板登入的使用者識別的 LDAP 屬性
對用於 LDAP 認證的使用者屬性的設定方法進行說明。
參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法,請參照 P.22 。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
12
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
設定 IC 卡的聯繫模式
對使用 IC 卡登入本機時,是否要求輸入密碼的設定方法進行說明。
不需要輸入密碼
使用 IC 卡登入時不需要輸入密碼。
需要輸入密碼
使用 IC 卡登入時需要輸入密碼。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
13
由 LDAP 進行外部認證
設定支援 IC 卡的 ID 的 LDAP 屬性
對使用 IC 卡登入本機時,支援 IC 卡的 ID 屬性的 LDAP 伺服器上名稱的設定方法進行
說明。
參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法,請參照 P.22 。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
14
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
補充
• 在本機中,使用者使用 IC 卡登入時,將在此設定的屬性從 LDAP 伺服器取得,做為個人列印
、認證列印以及工作記錄的使用者識別碼使用。
• 請設定保證了使用者唯一性值的屬性。
• 上述所設定的屬性無法從 LDAP 伺服器取得時,不能登入。
參考
• 有關如何確認 Active Directory® 架構 ( 使用者部門的屬性 ) 的方法,請參照 P.22 。
3 如果沒有其他設定,點選 [ 重新啟動 ] 。
15
由 LDAP 進行外部認證
功能項目的存取
在這裡,以複印功能存取的限制方法為範例進行說明。
2 點選 [ 下一畫面 ] 。
3 點選 [ 存取的項目 ] 底下的 [ 設定 …] 。
16
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
4 設定 [ 複印 ] 的存取控制。
不限制
不限制該目標功能。
限制 ( 顯示 )
在控制面板的目標功能上顯示帶有鑰匙標記的圖示。要使用該目標功能需要進行認證
。
限制 ( 不顯示 )
在控制面板上不顯示該目標功能。要使用該目標功能需要進行認證。
5 對其他功能亦進行限制時,請重複步驟4的操作。
6 點選 [ 套用新的設定 ] 。
7 如果沒有其他設定,點選 [ 重新啟動 ] 。
17
由 LDAP 進行外部認證
設定 LDAP 群組部門
在這裡,以分配複印功能存取權限的 LDAP 群組部門為範例說明設定方法。
2 點選 [ 複印 ] 中的 [ 編輯 ] 。
3 在 [ 複印 ] 的 [ 群組 ] 內以 DN 格式輸入 LDAP 群組部門,點選 [ 套用新的設定 ] 。
18
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
補充
• 如果登入使用者屬於上述所設定群組,則賦予該使用者以操作權限。
參考
• 有關如何確認 Active Directory® 群組 DN 的方法,請參照 P.21 。
4 顯示處理完成畫面。
對其他功能亦進行限制時,請重複步驟1至3的操作。
19
由 LDAP 進行外部認證
設定附加給由控制面板所輸入使用者名稱的字尾
使用者名稱的末尾為固定字串時,可預先登記各使用者的共通部分。在使用者由控制
面板輸入的使用者名稱上,統一追加已登記的字串,成為認證用的字串。請根據需要
進行設定。
例如,如果設定 “@contoso.com” 為字尾,由控制面板輸入 “user” 時,則會以
“user@contoso.com” 的字串進行認證。其設定方法如下。
2 選擇 [ 使用者名稱追加字串的使用 ] 為 [ 使用 ] 。
20
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
例 - 使用 Active Directory
以作為代表性 LDAP 伺服器的 Active Directory® 操作步驟為範例進行介紹。
補充
• 如果變更 Active Directory® 的設定,請事先確認其影響。
參考
• 有關 Active Directory® 的詳情,請參照 Microsoft 公司的官方網站。
截屏畫面顯示輸入指令範例。
dsquery ou -name testunit
"OU=TestUnit,DC=deska,DC=local"
截至 2014 年 10 月,可指定如下物件類型。
computer 目錄中符合指定檢索條件的電腦
contact 目錄中符合指定檢索條件的聯絡人
subnet 目錄中符合指定檢索條件的子網路
group 目錄中符合指定檢索條件的群組
ou 目錄中符合指定檢索條件的機構單位
site 目錄中符合指定檢索條件的網站
server 目錄中符合指定檢索條件的網域控制器
user 目錄中符合指定檢索條件的使用者
21
由 LDAP 進行外部認證
22
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
6 點選 [ 類別 ] 旁的加號按鈕,展開樹狀清單。
23
由 LDAP 進行外部認證
7 點選左側窗格的 [user] 。
此時視窗中央所顯示項目即為使用者部門所保有的屬性總覽。在此例中,可確認其保
有 ”mail” 屬性。
24
以 LDAP 伺服器上的使用者登入本機 ( 由 LDAP 進行外部認證 )
3 右鍵點選要追加部門的群組,點選 [ 內容 ] 。
4 選擇 [ 成員 ] 標籤後,點選 [ 新增 ...] 。
25
由 LDAP 進行外部認證
5 執行下列操作之一,點選 [ 確定 ] 。
在 [ 輸入物件名稱來選取 ] 欄位中輸入要追加的部門名稱,點選 [ 檢查名稱 ] 。
點選 [ 進階 ...]>[ 立即尋找 ] ,由清單選擇目標部門。
26
其他設定
其他設定
本章介紹其他設定的操作步驟。
27
由 LDAP 進行外部認證
3 雖然顯示畫面信息要求重新啟動本機,但可在完成所有設定後再重啟。請繼續步驟4
的操作。
4 選擇 [ 網路設定 ]>[ 通訊協定設定 ]>[LDAP]>[LDAP 伺服器 / 目錄服務的設定 ] 。
補充
• 通常使用 636 號連接埠,但請確認之後再設定。
6 點選 [ 重新啟動 ] 。
28
其他設定
29
由 LDAP 進行外部認證
注意
• 由於連接伺服器的數目上限為 [Referral Hop 的上限數 ] 中所設定的數值,對於上述情況,
最多至 5 個信任伺服器可用。無法連接超過 5 個的信任伺服器。
• 對於 [ 檢索用的認證使用者 ] ,信任的 LDAP 伺服器亦需要存取權限。
• 從安全性目地考慮,如果設置了 LDAPS ,則本機無法連接非加密的伺服器。
3 點選 [ 重新啟動 ] 。
要對 LDAP 群組部門設定多個群組 DN 。
僅能指定一個 LDAP 群組部門。
但是,利用群組的從屬關係 ( 使其歸屬於某主群組的不同子群組 ) ,可將操作權限指
定給多個子群組。
請根據需要變更 LDAP 伺服器的設定。
例如,如果要賦予 A 群組和 B 群組複印操作權限,則新製作一個 C 群組,使 A 群組和 B
群組均歸屬於其子群組。通過將 C 群組 DN 設定為複印群組的方式,即可以賦予 A 群組
和 B 群組的所屬使用者複印操作權限。
補充
• 如果變更 LDAP 伺服器的設定,請事先確認其影響。
• 本機最多可支援 5 個層次的從屬關係。如超過 5 層次,第 6 層次以下的群組則不予指定權限
。
參考
• 關於如何在 Active Directory® 上追加歸屬群組部門的方法,請參照 P.24 。
30
其他設定
登入需要一段時間;同一使用者登入時而成功時而失敗時
由於 LDAP 伺服器或網路有超載的可能性較高,通常需要對運行環境進行確認與調整。
如果是由於 LDAP 伺服器的檢索範圍太大,或者檢索範圍內所包含項目數過多而需要時
間,則請調整 [ 網路設定 ]>[ 通訊協定設定 ]>[LDAP]>[LDAP 伺服器設定 ] 底下的 [ 輸
入檢索起點 (DN)] 。
將本機與 LDAP 伺服器的通信等待時間設定為足夠長,可能會避免登入失敗。但是,由
於登入所需時間沒有縮短,所以這僅為暫行的解決方法。
可按照如下步驟設定通信等待時間。
認證應答等待時間的上限
設定本機要求執行 LDAP 伺服器認證時,等待伺服器應答的時間上限。
變更此數值以減輕網路負載。
使用者資料檢索時間的上限
設定本機要求執行 LDAP 伺服器檢索時,等待伺服器應答的時間上限。
變更此數值以減輕 LDAP 伺服器負載。
3 點選 [ 重新啟動 ] 。
31
由 LDAP 進行外部認證
32
索引
五畫
六畫
同一使用者登入時而成功時而失敗時 ........................................................... 31
如何追加部門至 Active Directory 群組 ........................................................ 24
如何確認 Active Directory 的 DN( 識別名稱 ) ................................................... 21
如何確認 Active Directory 架構 .............................................................. 22
八畫
使用 IC 卡的識別資料與密碼登入本機 ........................................................... 4
使用 LDAP 伺服器上使用者部門的識別資料登入本機 ............................................... 2
使用 LDAP 伺服器上的使用者部門屬性資料登入本機 ............................................... 2
使用使用者 IC 卡的識別資料登入本機 ........................................................... 3
例 - 使用 Active Directory .................................................................. 21
其他設定 ................................................................................... 27
九畫
十一畫
設定 IC 卡的聯繫模式 ........................................................................ 13
設定 LDAP 伺服器的連接資訊 ................................................................... 8
設定 LDAP 伺服器的認證方式 .................................................................. 10
設定 LDAP 群組部門 .......................................................................... 18
設定支援 IC 卡的 ID 的 LDAP 屬性 .............................................................. 14
設定用於由控制面板登入的使用者識別的 LDAP 屬性 .............................................. 12
設定用於由控制面板進行使用者登入的 LDAP 屬性 ................................................ 11
設定用於使用 IC 卡登入的使用者識別的 LDAP 屬性 ............................................... 15
設定附加給由控制面板所輸入使用者名稱的字尾 ................................................. 20
33
十二畫
登入需要一段時間 ............................................................................31
給登入使用者賦予本機的操作權限 ...............................................................4
十三畫
34
由LDAP進行外部認證
ME7591T2-1 (第1版)
2015 年 6 月
Fuji Xerox Co., Ltd. ©2015 by Fuji Xerox Co., Ltd.版權所有