使用説明書RICOH P 501/500

LDAP認証

LDAP認証は、拡張HDDを装着しているときだけ利用できます。

LDAPサーバーを使用して、LDAPサーバーにアカウントを持つユーザーの認証をするときに設定します。LDAPサーバーにアカウントがないユーザーは認証を受けられません。LDAPサーバーに登録されているアドレス帳を本機に自動で登録できるため、本機でアドレス帳の個人設定登録をしなくてもユーザー認証ができます。

LDAP認証は、ネットワーク上のパソコンからWebブラウザーを使用して設定します。(本機に搭載されているWeb Image Monitorという機能を利用します。)

LDAP認証時にユーザー名、パスワードがネットワークに平文で流れるのを防止するために、本機とLDAPサーバー間でSSLによる暗号化された通信をすることをお勧めします。そのときは事前にLDAPサーバーのサーバー証明書の作成が必要です。証明書の作成方法は、サーバー証明書を作成するを参照してください。SSLの利用設定はLDAPサーバーで設定します。

接続するSSLサーバーが信頼できるかをチェックするには、サイト証明書のチェック機能を使用します。詳しくはWeb Image Monitorのヘルプを参照してください。

認証方式で「平文認証」を選択しているとLDAP簡易認証が有効となり、DNではなく、ユーザーの属性(cn, uidなど)により簡略化した認証ができます。

LDAPの認証方式でKerberos認証を選択するには、事前にレルムの登録が必要です。レルム名は必ず大文字で登録してください。レルムの登録方法は、Web Image Monitorのヘルプを参照してください。

重要

  • LDAP認証を使用すると、認証時にLDAPサーバーのユーザー情報が本機のアドレス帳に自動登録されます。自動登録されたユーザー情報を本機側で編集しても、次の認証時にLDAPサーバーの情報で上書きされます。

  • LDAP認証はディレクトリサーバー側に登録されたグループごとにアクセス制限を設定できません。

  • LDAP認証を使用するときは、LDAP検索時にSSL設定されたサーバーには、参照機能が利用できません。

  • Active Directoryを使用してLDAP認証をするときは、LDAPの認証種別でKerberos認証を選択し、同時にSSLを設定するとユーザー情報を取得できません。

  • LDAP認証を使用する場合に、LDAPサーバーの設定で匿名認証を禁止にしていないときは、LDAPサーバーにアカウントのないユーザーでも認証できることがあります。

  • LDAPサーバーがWindows ActiveDirectoryで構成されているときは、匿名認証が許可されることがあります。このような環境で使用するときはWindows認証の利用をお勧めします。

LDAP認証の使用条件

LDAP認証を設定するときは、以下の条件が必要です。

  • 本機がLDAPサーバーを認識できる環境に接続されている

  • SSL使用時には、TLSv1またはSSLv3がLDAPサーバーで動作する

  • 本機にLDAPサーバーが登録されており、以下の項目がすべて設定されている

    • 名前

    • サーバー名

    • 検索開始位置

    • ポート番号

    • SSL

    • 認証*1

    • ユーザー名

    • パスワード

    • 日本語文字コード

    *1 認証は[Kerberos認証][ダイジェスト認証][平文認証]のどれかに設定してください。

    LDAPサーバーの登録方法は、Web Image Monitorのヘルプを参照してください。

補足

  • ログインユーザー名、ログインパスワードに使用できる文字は、ユーザー名、パスワードに使用できる文字を参照してください。

  • LDAP簡易認証時に空パスワードでログインすると、認証に失敗します。空パスワードを許可するときは、サービス実施店にお問い合わせください。

  • 設定後に未登録のユーザーが初めて本機を使用したときは、本機にユーザーが新規登録され、LDAP認証設定時に「使用できる機能」で設定した機能が使用できます。ユーザーごとに使用できる機能を制限するには、あらかじめユーザーと「使用できる機能」の設定をアドレス帳に登録しておくか、新規登録したあと、ユーザーごとに「使用できる機能」を変更してください。2度目以降の使用時には、ユーザーごとの「使用できる機能」の設定は維持されます。

  • Kerberos認証では、本機とKDCサーバーの間で暗号化通信をします。暗号化通信の設定は、Kerberos認証の暗号化設定を参照してください。

管理者認証が設定されていることを確認してから設定してください。

1ネットワーク上のパソコンからWebブラウザーを起動し、Web Image Monitorに機器管理者がログインします。

ログイン方法は、管理者のログイン方法を参照してください。

2[機器の管理]をポイントし、[設定]をクリックします。

3「機器」の[ユーザー認証管理]をクリックします。

4「ユーザー認証管理」で[LDAP認証]を選択します。

5「プリンタージョブ認証」のレベルを選択します。

プリンタージョブ認証については、プリンタージョブ認証を参照してください。

[簡易][すべて]を選択したときは、手順7へ進みます。

[簡易(限定)]を選択したときは、手順6へ進みます。

6プリンタージョブ認証を簡易として扱う対象範囲を限定します。

IPアドレスの範囲と、パラレル接続、USB接続を対象とするかを設定できます。

7LDAP認証に使用するLDAPサーバーを選択します。

8ログイン名属性を入力します。

ログイン名属性は、認証ユーザーの情報取得のための検索条件として利用します。ログイン名属性で検索フィルターを作成して、ユーザーを特定してそのユーザーの情報をLDAPサーバーから本機のアドレス帳へ取得します。

ログイン名属性を(,)で区切って複数指定しているとき、ログイン名を1つ入力すると、指定した属性のどちらかでログイン名が一致したときに検索が成功します。また、ログイン名に(=)をつけて入力すると(例:cn=abcde, uid=xyz)、両方の属性が一致したときに検索が成功します。本機能は認証方式で「平文認証」を選択しているときに利用できます。

DN形式で認証するときは、ログイン名属性を登録する必要はありません。

使用しているサーバー環境によりユーザー名の指定方法は異なります。使用しているサーバー環境を確認して入力してください。

9一意属性を入力します。

一意属性は、LDAPサーバーと本機のユーザー情報を対応させるために設定します。一意属性を本機で設定することで、LDAPサーバーで一意属性が同じユーザー情報は、本機でも単一ユーザーとして扱えます。一意属性にはサーバーで一意な情報の管理に使用している属性を指定します。serialNumber、uidなどで、一意であればcnやemployeeNumberでも指定できます。

10「使用できる機能」で、ユーザーに使用を許可する機能を選択します。

選択した機能がLDAP認証の対象となります。選択していない機能は、ユーザーは使用できません。

機能の使用制限については、機能の使用を制限するを参照してください。

11[OK]をクリックします。

12ログアウトします。

ログアウト方法は、管理者のログアウト方法を参照してください。