RICOH

ユーザー認証用サーバーの事前設定をする

ユーザー認証の方式としてWindows認証/LDAP認証を初めて使用するときは、サーバー環境がユーザー認証機能の使用条件を満たしているかを確認し、設定してください。

Windows認証を使用するとき

以下の手順でサーバーの事前設定をしてください。

  1. Windows認証の使用条件を確認する

  2. Webサーバー(IIS)と「Active Directory証明書サービス」をサーバーに導入する

  3. サーバー証明書を作成する
    ユーザー情報を暗号化通信しないでやりとりするときは、サーバー証明書の作成は不要です。

LDAP認証を使用するとき

LDAP認証の使用条件を確認し、必要に応じてサーバー環境を設定してください。

認証用サーバー認証の使用条件

Windows認証

項目

説明

対応OS

Windows Server 2016/2019/2022/2025

認証方式

以下の認証方式に対応しています。

  • NTLM認証(NTLMv1/NTLMv2)

  • Kerberos認証

認証条件

  • 指定したドメイン内にドメインコントローラーが必要です。

  • Active Directoryによるユーザー情報の取得には、LDAPを使用します。本機とLDAPとの通信は、SSL/TLSで暗号化することをお勧めします。サーバーでの動作が必要な暗号化方式はTLS1.0/1.1/1.2/1.3またはSSL3.0です。あらかじめ、ドメインコントローラーのサーバー証明書を登録してください。
    サーバー証明書を作成する

  • TLS1.0、TLS1.1、およびSSL3.0は工場出荷時には無効になっています。TLS1.0/1.1またはSSL3.0を使用するときは、Web Image Monitorで設定を有効にしてください。

  • Kerberos認証では、本機とKDC(キー配布センター)サーバーの間で暗号化通信が必要です。
    ネットワーク通信を暗号化する

補足

  • 別のドメインで管理されているユーザーでも認証できます。ただし、メールアドレスなどの情報は取得できません。

  • Kerberos認証とSSL/TLSを設定していると、メールアドレスを取得できません。

  • 認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。

  • ドメインコントローラーに新規ユーザーを作成し、パスワード設定で「次回ログオン時にパスワード変更が必要」を選択したときは、先にパソコンでログオンしてパスワードの変更をしてください。

  • Windowsサーバーで「Guest」アカウントが有効に設定されているときは、ドメインコントローラーに存在しないユーザーでも認証できます。そのときにユーザーはアドレス帳に登録され、[*Default Group]に設定されている機能だけを使用できます。

LDAP認証

項目

説明

対応バージョン

LDAP Ver 2.0/3.0

認証方式

以下の認証方式に対応しています。

  • Kerberos認証

  • ダイジェスト認証

  • 平文認証

平文認証ではLDAP簡易認証が有効になります。識別名(DN)ではなく、ユーザーの属性(cn, uid など)による簡略化した認証ができます。

認証条件

  • SSL/TLSを使用するとき、サーバーでの動作が必要な暗号化方式はTLS1.0/1.1/1.2/1.3またはSSL3.0です。

  • TLS1.0、TLS1.1、およびSSL3.0は工場出荷時には無効になっています。TLS1.0/1.1またはSSL3.0を使用するときは、Web Image Monitorで設定を有効にしてください。

  • Kerberos認証を使用するときは、ネットワークエリアを識別できるようにレルムを登録してください。
    レルムを設定する

  • Kerberos認証では、本機とKDC(キー配布センター)サーバーの間で暗号化通信が必要です。
    ネットワーク通信を暗号化する

  • ダイジェスト認証が使用できるLDAPのバージョンは3.0だけです。
LDAPサーバーがActive Directoryで構成されているときの留意点

  • Kerberos認証とSSL/TLSを設定していると、メールアドレスを取得できません。

  • 匿名認証が許可されることがあります。セキュリティーを高めるには匿名認証を無効にしてください。

補足

  • 認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。

  • LDAP認証では、本機の機能の使用制限を、サーバーに登録されたグループごとに適用することはできません。

  • ユーザーが初めて本機を使用したときは、[ユーザー認証管理]で設定した「使用できる機能」が使用できます。

  • ユーザーごとに「使用できる機能」を制限するには、アドレス帳にユーザーと「使用できる機能」をあらかじめ設定しておくか、ユーザーが自動登録されてから設定してください。

セクショントップへ

Webサーバー(IIS)と「Active Directory証明書サービス」をインストールする

Active Directoryに登録されているユーザー情報を自動取得するため、Windowsサーバーに必要なサービスをインストールします。

  1. [スタート]メニューから、[サーバーマネージャー]をクリックする。
  2. [管理]メニューから[役割と機能の追加]をクリックする。
  3. [次へ]をクリックする。
  4. [役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックする。
  5. サーバーを選択し、[次へ]をクリックする。
  6. [Active Directory証明書サービス]と[Webサーバー(IIS)]のチェックボックスにチェックを付け、[次へ]をクリックする。
    確認メッセージが表示されたときは、[機能の追加]をクリックします。
  7. インストールする機能にチェックを付け、[次へ]をクリックする。
  8. 表示された内容を確認したあと、[次へ]をクリックする。
  9. Active Directory証明書サービスのインストールする役割サービスで、[証明機関]にチェックが付いていることを確認し、[次へ]をクリックする。
  10. 表示された内容を確認したあと、[次へ]をクリックする。
    Windows Server 2016のときは、表示された内容を確認したあと手順12に進みます。
  11. Webサーバー(IIS)のインストールする役割サービスにチェックを付け、[次へ]をクリックする。
  12. [インストール]をクリックする。
  13. Windows Server 2019/2022/2025のときは、[閉じる]をクリックする。
  14. インストールの終了後、サーバーマネージャーの通知アイコンをクリックし、[対象サーバーにActive Directory 証明書サービスを構成する]をクリックする。
  15. [次へ]をクリックする。
  16. 役割サービスで[証明機関]にチェックを付けて、[次へ]をクリックする。
  17. [エンタープライズCA]を選択し、[次へ]をクリックする。
  18. [ルートCA]を選択し、[次へ]をクリックする。
  19. [新しい秘密キーを作成する]を選択し、[次へ]をクリックする。
  20. 秘密キーを作成するため、暗号化プロバイダー、キー長、ハッシュアルゴリズムを選択し、[次へ]をクリックする。
  21. [このCAの共通名:]にCAの名前を入力し、[次へ]をクリックする。
  22. 証明書の有効期間を選択し、[次へ]をクリックする。
  23. [証明書データベースの場所:]と[証明書データベース ログの場所:]は変更しないで[次へ]をクリックする。
  24. [構成]をクリックする。
  25. 「構成に成功しました」というメッセージが表示されたら、[閉じる]をクリックする。

セクショントップへ

サーバー証明書を作成する

ユーザー情報を暗号化するために、Windowsサーバーでサーバー証明書を作成します。Windows Server 2025の例で説明します。

  1. [スタート]メニューで[すべてのアプリ][Windowsツール]とクリックし、[インターネットインフォメーションサービス(IIS)マネージャー]をダブルクリックする。

  2. 左枠のサーバー名をクリックして選択し、[サーバー証明書]をダブルクリックする。

  3. 右枠の[証明書の要求の作成…]をクリックする。

  4. すべての情報を入力して[次へ]をクリックする。

  5. [暗号化サービスプロバイダー:]でプロバイダーを選択し、[次へ]をクリックする。

  6. […]をクリックし、証明書を要求するためのファイル名を入力する。

  7. ファイルを保存する場所を指定し、[開く]をクリックする。

  8. [終了]をクリックする。

セクショントップへ

x

QR Code