LDAPサーバーを使用して、LDAPサーバーにアカウントを持つユーザーの認証をするときに設定します。LDAPサーバーにアカウントがないユーザーは認証を受けられません。LDAPサーバーに登録されているアドレス帳を本機に自動で登録できるため、本機でアドレス帳の個人設定登録をしなくてもユーザー認証ができます。
LDAP認証時にユーザー名、パスワードがネットワークに平文で流れるのを防止するために、本機とLDAPサーバー間でSSLによる暗号化された通信をすることをお勧めします。そのときは事前にLDAPサーバーのサーバー証明書の作成が必要です。証明書の作成方法は、サーバー証明書を作成するを参照してください。SSLの使用設定方法は、『ネットワークの接続/システム初期設定』「LDAPサーバーを設定する」を参照してください。
接続するSSLサーバーが信頼できるかをチェックするには、サイト証明書のチェック機能を使用します。詳しくはWeb Image Monitorのヘルプを参照してください。
認証方式で「平文認証」を選択しているとLDAP簡易認証が有効となり、DNではなく、ユーザーの属性(cn, uidなど)により簡略化した認証ができます。
LDAPの認証方式でKerberos認証を選択するには、事前にレルムの登録が必要です。レルム名は必ず大文字で登録してください。レルムの登録方法は、『ネットワークの接続/システム初期設定』「レルムを設定する」を参照してください。
LDAP認証を運用するとき、認証成功後に自動登録した認証済みユーザーのメールアドレスなどを本機で編集したときは、続く認証時の再取得により、メールアドレスなどが上書きされることがあるので注意してください。
LDAP認証はディレクトリサーバー側に登録されたグループごとにアクセス制限を設定できません。
Active Directoryを使用してLDAP認証をするときは、LDAPの認証種別でKerberos認証を選択し、同時にSSLを設定するとメールアドレスは取得できません。
LDAP認証を使用する場合に、LDAPサーバーの設定で匿名認証を禁止にしていないときは、LDAPサーバーにアカウントのないユーザーでも認証できることがあります。
LDAPサーバーがWindows ActiveDirectoryで構成されている場合は、匿名認証が許可されることがあります。このような環境で使用するときはWindows認証の使用をお勧めします。
LDAP認証の使用条件
LDAP認証を設定するときは、以下の条件が必要です。
本機がLDAPサーバーを認識できる環境に接続されている
SSL使用時には、TLSv1またはSSLv3がLDAPサーバーで動作する
本機にLDAPサーバーが登録されており、以下の項目がすべて設定されている
名前
サーバー名
検索開始位置
ポート番号
SSL
認証*1
ユーザー名
パスワード
日本語文字コード
*1 認証は[Kerberos認証]、[ダイジェスト認証]、[平文認証]のどれかに設定してください。
LDAPサーバーの登録方法は、『ネットワークの接続/システム初期設定』「LDAPサーバーを設定する」を参照してください。
ログインユーザー名、ログインパスワードに使用できる文字は、ユーザー名、パスワードに使用できる文字を参照してください。
LDAP簡易認証時に空パスワードでログインすると、認証に失敗します。空パスワードを許可するときは、サービス実施店にお問い合わせください。
設定後に未登録のユーザーが初めて本機を使用したときは、本機にユーザーが新規登録され、LDAP認証設定時に「使用できる機能」で設定した機能が使用できます。ユーザーごとに使用できる機能を制限するには、あらかじめユーザーと「使用できる機能」の設定をアドレス帳に登録しておくか、新規登録したあと、ユーザーごとに「使用できる機能」を変更してください。2度目以降の使用時には、ユーザーごとの「使用できる機能」の設定は維持されます。
Kerberos認証では、本機とKDCサーバーの間で暗号化通信をします。暗号化通信の設定は、Kerberos認証の暗号化設定を参照してください。
管理者認証が設定されていることを確認してから設定してください。
操作部から機器管理者がログインします。
[システム初期設定]を押します。
[管理者用設定]を押します。
[次へ]を押します。
[ユーザー認証管理]を押します。
[LDAP認証]を選択します。
ユーザー認証管理を使用しないときは、[認証しない]を選択してください。
「認証LDAP」で認証に使用するLDAPサーバーを選択します。
「プリンタージョブ認証」のレベルを選択します。
プリンタージョブ認証については、プリンタージョブ認証を参照してください。
[簡易]、[すべて]を選択したときは、手順12へ進みます。
[簡易(限定)]を選択したときは、手順9へ進みます。
「限定対象」の[変更]を押します。
プリンタージョブ認証を簡易として扱う対象範囲を限定します。
IPv4アドレスの範囲とUSB接続を対象とするかを設定できます。
[閉じる]を押します。
[次へ]を押します。
「使用できる機能」で、ユーザーに使用を許可する機能を選択します。
選択したい機能が表示されていないときは、[次へ]を押します。
選択した機能がLDAP認証の対象となります。選択していない機能は、ユーザーは使用できません。
機能の使用制限については、機能の使用を制限するを参照してください。
[次へ]を押します。
「ログイン名属性」の[変更]を押します。
ログイン名属性を入力し、[OK]を押します。
ログイン名属性は、認証ユーザーの情報取得のための検索条件として使用します。ログイン名属性で検索フィルターを作成して、ユーザーを特定してそのユーザーの情報をLDAPサーバーから本機のアドレス帳へ取得します。
ログイン名属性を(,)で区切って複数指定しているとき、ログイン名を1つ入力すると、指定した属性のどちらかでログイン名が一致したときに検索が成功します。また、ログイン名に(=)をつけて入力すると(例:cn=abcde, uid=xyz)、両方の属性が一致したときに検索が成功します。本機能は認証方式で「平文認証」を選択しているときに使用できます。
DN形式で認証するときは、ログイン名属性を登録する必要はありません。
使用しているサーバー環境によりユーザー名の指定方法は異なります。使用しているサーバー環境を確認して入力してください。
「一意属性」の[変更]を押します。
一意属性を入力し、[OK]を押します。
一意属性は、LDAPサーバーと本機のユーザー情報を対応させるために設定します。一意属性を本機で設定することで、LDAPサーバーで一意属性が同じユーザー情報は、本機でも単一ユーザーとして扱えます。一意属性にはサーバーで一意な情報の管理に使用している属性を指定します。serialNumber、uidなどで、一意であればcnやemployeeNumberでも指定できます。
[設定]を押します。
[次へ]を2回押します。
[アプリケーション別認証管理]を押します。
それぞれの機能について認証の対象とするかどうかを選択します。
[認証しない]に設定した機能はログインしないで使用できます。
[設定]を押します。
[ログアウト]を押します。