使用説明書RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000 シリーズ

ユーザー認証用サーバーの事前設定をする

ユーザー認証の方式としてWindows認証/LDAP認証を初めて使用するときは、サーバー環境がユーザー認証機能の使用条件を満たしているかを確認し、設定してください。

Windows認証を使用するとき

以下の手順でサーバーの事前設定をしてください。

  1. Windows認証の使用条件を確認します。

  2. Webサーバー(IIS)と「Active Directory証明書サービス」をサーバーに導入する

  3. サーバー証明書を作成する

    ユーザー情報を暗号化通信しないでやりとりするときは、サーバー証明書の作成は不要です。

LDAP認証を使用するとき

LDAP認証の使用条件を確認し、必要に応じてサーバー環境を設定してください。

認証用サーバー認証の使用条件

Windows認証

項目

説明

対応OS

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Windows Server 2008でKerberos認証を使用するときは、Service Pack 2以降の導入が必要です。

認証方式

以下の認証方式に対応しています。

  • NTLM認証(NTLMv1/NTLMv2)

  • Kerberos認証

Kerberos認証を指定しても、認証先のサーバーがKerberos認証に対応していないときは、自動的にNTLM認証に切り替わります。

認証条件

  • 指定したドメイン内にドメインコントローラが必要です。

  • Active Directoryによるユーザー情報の取得には、LDAPを使用します。本機とLDAPとの通信は、SSL/TLSで暗号化することをお勧めします。サーバーでの動作が必要な暗号化方式はTLS1.0/1.1/1.2またはSSL3.0です。あらかじめ、ドメインコントローラのサーバー証明書を登録してください。

    サーバー証明書を作成する

  • TLS1.0/SSL3.0は工場出荷時には無効になっています。TLS1.0/SSL3.0を使用するときは、Web Image Monitorで設定を有効にしてください。

  • Kerberos認証では、本機とKDC(キー配布センター)サーバーの間で暗号化通信が必要です。

    ネットワーク通信を暗号化する

補足

  • 別のドメインで管理されているユーザーでも認証できます。ただし、メールアドレスなどの情報は取得できません。

  • Kerberos認証を設定しているときは、SSL/TLSを設定しているとメールアドレスを取得できません。

  • 認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。

  • ドメインコントローラに新規ユーザーを作成し、パスワード設定で「次回ログオン時にパスワード変更が必要」を選択したときは、先にパソコンでログオンしてパスワードの変更をしてください。

  • Windowsサーバーで「Guest」アカウントが有効に設定されているときは、ドメインコントローラに存在しないユーザーでも認証できます。そのときにユーザーはアドレス帳に登録され、[*Default Group]に設定されている機能だけを使用できます。

LDAP認証

項目

説明

対応バージョン

LDAP Ver 2.0/3.0

認証方式

  • Kerberos認証

  • ダイジェスト認証

  • 平文認証

平文認証ではLDAP簡易認証が有効になります。識別名(DN)ではなく、ユーザーの属性(cn, uid など)による簡略化した認証ができます。

認証条件

  • SSL/TLSを使用するとき、サーバーでの動作が必要な暗号化方式はTLS1.0/1.1/1.2またはSSL3.0です。

  • TLS1.0/SSL3.0は工場出荷時には無効になっています。TLS1.0/SSL3.0を使用するときは、Web Image Monitorで設定を有効にしてください。

  • Kerberos認証を使用するときは、ネットワークエリアを識別できるようにレルムを登録してください。

  • Kerberos認証では、本機とKDC(キー配布センター)サーバーの間で暗号化通信が必要です。

    ネットワーク通信を暗号化する

  • ダイジェスト認証が使用できるLDAPのバージョンは3.0だけです。

LDAPサーバーがActive Directoryで構成されているときの留意点

  • Kerberos認証とSSL/TLSを設定していると、メールアドレスを取得できません。

  • 匿名認証が許可されることがあります。セキュリティーを高めるには匿名認証を無効にしてください。

補足

  • 認証済みユーザーのメールアドレスなどを本機のアドレス帳で編集しても、その後の認証でサーバーからの情報が上書きされることがあります。

  • LDAP認証では、本機の機能の使用制限を、サーバーに登録されたグループごとに適用することはできません。

  • ユーザーが初めて本機を使用したときは、[ユーザー認証管理]で設定した「使用できる機能」が使用できます。

  • ユーザーごとに「使用できる機能」を制限するには、アドレス帳にユーザーと「使用できる機能」をあらかじめ設定しておくか、ユーザーが自動登録されてから設定してください。

Webサーバー(IIS)と「Active Directory証明書サービス」をインストールする

Active Directoryに登録されているユーザー情報を自動取得するため、Windowsサーバーに必要なサービスをインストールします。

Windows Server 2012/2012 R2/2016/2019

1[スタート]メニューから、[サーバーマネージャー]をクリックする。

2[管理]メニューから[役割と機能の追加]をクリックする。

3[次へ]をクリックする。

4[役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックする。

5サーバーを選択する。

6[Active Directory 証明書サービス]と[Webサーバー(IIS)]のチェックボックスにチェックを付け、[次へ]をクリックする。

確認メッセージが表示されたときは、[機能の追加]をクリックします。

7インストールする機能にチェックを付け、[次へ]をクリックする。

8表示された内容を確認したあと、[次へ]をクリックする。

9Active Directory証明書サービスのインストールする役割サービスで、[証明機関]にチェックが付いていることを確認し、[次へ]をクリックする。

10表示された内容を確認したあと、[次へ]をクリックする。

Windows Server 2016のときは、表示された内容を確認したあと手順12に進みます。

11Web サーバー(IIS)のインストールする役割サービスにチェックを付け、[次へ]をクリックする。

12[インストール]をクリックする。

13インストールの終了後、サーバーマネージャーの通知アイコンをクリックし、[対象サーバーにActive Directory 証明書サービスを構成する]をクリックする。

14[次へ]をクリックする。

15役割サービスで[証明機関]にチェックを付けて、[次へ]をクリックする。

16[エンタープライズCA]を選択し、[次へ]をクリックする。

17[ルートCA]を選択し、[次へ]をクリックする。

18[新しい秘密キーを作成する]を選択し、[次へ]をクリックする。

19秘密キーを作成するため、暗号化プロバイダー、キー長、ハッシュアルゴリズムを選択し、[次へ]をクリックする。

20「このCAの共通名:」にCAの名前を入力し、[次へ]をクリックする。

21証明書の有効期間を選択し、[次へ]をクリックする。

22「証明書データベースの場所:」と「証明書データベース ログの場所:」は変更しないで[次へ]をクリックする。

23[構成]をクリックする。

24「構成に成功しました」というメッセージが表示されたら、[閉じる]をクリックする。

Windows Server 2008 R2

1「スタート」メニューから「管理メニュー」をポイントし、サーバーマネージャーを起動する。

2左枠の[役割]をクリックし、「操作」メニューから[役割の追加]をクリックする。

3[次へ]をクリックする。

4「Webサーバー(IIS)」と「Active Directory証明書サービス」のチェックボックスにチェックを付け、[次へ]をクリックする。

確認メッセージが表示されたときは[機能の追加]をクリックします。

5表示された内容を確認したあと、[次へ]をクリックする。

6「証明機関」にチェックを付け、[次へ]をクリックする。

7「エンタープライズ」を選択し、[次へ]をクリックする。

8「ルートCA」を選択し、[次へ]をクリックする。

9「新しい秘密キーを作成する」を選択し、[次へ]をクリックする。

10暗号化サービスプロバイダー、キーの長さ、ハッシュアルゴリズムを選択し、[次へ]をクリックする。

11「このCAの共通名:」にCAの名前を入力し、[次へ]をクリックする。

12証明書の有効期間を選択し、[次へ]をクリックする。

13「証明書データベースの場所:」と「証明書データベース ログの場所:」は変更せず、[次へ]をクリックする。

14注意事項を確認し、[次へ]をクリックする。

15インストールする役割サービスにチェックを付け、[次へ]をクリックする。

16[インストール]をクリックする。

追加機能のインストールが始まります。

サーバー証明書を作成する

ユーザー情報を暗号化するために、Windowsサーバーでサーバー証明書を作成します。Windows Server 2016の例で説明します。

1[スタート]メニューで[すべてのアプリ]をクリックし、[管理ツール]の[インターネットインフォメーションサービス(IIS)マネージャー]をクリックする。

2左枠の[サーバー名]をクリックして選択し、[サーバー証明書]をダブルクリックする。

3右枠の[証明書の要求の作成…]をクリックする。

4すべての情報を入力して[次へ]をクリックする。

5「暗号化サービスプロバイダー:」でプロバイダーを選択し、[次へ]をクリックする。

6[…]をクリックし、証明書を要求するためのファイル名を入力する。

7ファイルを保存する場所を指定し、[開く]をクリックする。

8[終了]をクリックする。