認証カードに登録されているカードIDを使って、LDAPサーバーで認証するように設定できます(LDAP-ICカード認証)。
ICカードをかざすだけで認証が完了するので、ユーザーの利便性を損なうことなく、セキュリティを強化できます。
認証カードを使って認証するには、次の手順で設定してください。
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[LDAP-ICカード認証設定]で、[LDAP-ICカード認証設定]を[使用する]に設定します(初期値:[使用しない])。
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]で、ICカードのユーザーIDを認証するLDAPサーバーの情報を登録します。
設定 | 説明 |
---|---|
[サーバーアドレス] | ICカードのユーザーIDを認証するLDAPサーバーのアドレスを入力します。 次のいずれかのフォーマットで入力します。
|
[ポート番号] | 必要に応じて、LDAPサーバーのポート番号を変更します。 通常はそのままお使いいただけます。 初期値は[389]です。 |
[検索ベース1]~[検索ベース3] | 認証するユーザーを検索するときの、検索の起点と範囲を設定します。
|
[タイムアウト時間] | 必要に応じて、LDAPサーバーとの通信のタイムアウト時間を変更します。 初期値は[60]秒です。 |
[認証方式] | LDAPサーバーへログインするときの、認証方式を選びます。 お使いのLDAPサーバーで採用している認証方式に合わせて選びます。
初期値は[Simple]です。 |
[ログイン名] | LDAPサーバーへログインして、ユーザーの検索が行えるログイン名を入力します(全角/半角64文字以内)。 |
[パスワード] | [ログイン名]に入力したユーザー名のパスワードを入力します("を除く半角64文字以内)。 パスワードを入力(変更)する場合は、[パスワードを変更する]にチェックをつけてから、新しいパスワードを入力します。 |
[ドメイン名] | LDAPサーバーへログインするためのドメイン名を入力します(半角64文字以内)。 [認証方式]で[GSS-SPNEGO]を選んだ場合は、Active Directoryのドメイン名を入力します。 |
[referral設定] | 必要に応じて、referral機能を使うかどうかを選びます。 LDAPサーバーの環境に応じて設定してください。 初期値は[使用する]です。 |
[検索属性] | ICカード情報を入力した場所に対応する属性を入力します(半角63文字以内、記号は-のみ使用可能)。 属性値は、半角英字で始める必要があります。 初期値は[uid]です。 |
[ユーザー名] | 本機にログインするときのユーザー名の取得方法を選びます。
初期値は[カードIDを使用]です。 |
[連携外部サーバー] | 本機に保存する認証情報に使う、外部サーバーの名前を選びます。 LDAP-ICカード認証が成功したときは、認証情報を本機に保存します。この認証情報には、ユーザー名と外部サーバーの名前が含まれます。 本機に保存する認証情報のうち、外部サーバー名は、本機に登録されている外部サーバーの名前を登録できます。 初期値は[選択なし]です。 |
本機とLDAPサーバーとの通信を、SSLで暗号化します。
お使いの環境でLDAPサーバーとの通信をSSLで暗号化している場合に設定します。
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]で、次の設定をします。
設定 | 説明 | |
---|---|---|
[SSL使用設定] | SSLで通信するときは、チェックをつけます。 初期値は[OFF](チェックなし)です。 | |
[ポート番号(SSL)] | 必要に応じて、SSL通信用のポート番号を変更します。 通常はそのままお使いいただけます。 初期値は[636]です。 | |
[証明書検証強度設定] | 証明書の検証を行う場合は、検証する項目を選びます。 それぞれの項目で[確認する]を選ぶと、その項目について、証明書の検証を行います。 | |
[有効期限] | 証明書が有効期限内かどうかを確認します。 初期値は[確認する]です。 | |
[CN] | 証明書のCN(Common Name)が、サーバーのアドレスと一致しているかどうかを確認します。 初期値は[確認しない]です。 | |
[鍵使用法] | 証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します。 初期値は[確認しない]です。 | |
[チェーン] | 証明書のチェーン(証明書のパス)に問題がないかどうかを確認します。 チェーンの確認は、本機で管理している外部証明書を参照して行います。 初期値は[確認しない]です。 | |
[失効確認] | 証明書が失効していないかどうかを確認します。 証明書の失効確認は、以下の順番で行います。
初期値は[確認しない]です。 |
LDAPサーバーを導入している場合に、優先認証サーバーがダウンしたときに備えて、代替認証サーバーを設定しておくことができます。
代替認証サーバーを設定しておくことで、万一普段使用している優先認証サーバーがダウンしても、自動的に代替認証サーバーに接続が切替わり、LDAP-ICカード認証を行うことができます。
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[代替認証サーバー設定]で、次の設定をします。
設定 | 説明 |
---|---|
[代替認証サーバー設定] | 代替認証サーバーを使うときは、[使用する]を選びます。 初期値は[使用しない]です。 |
[再接続設定] | 優先認証サーバーへ再接続するタイミングを設定します。 初期値は[指定時間毎に接続]です。
|
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[代替認証サーバー登録]で、[編集]をクリックして、次の設定をします。
設定 | 説明 |
---|---|
[サーバーアドレス] | LDAPサーバーのアドレスを入力します。 次のいずれかのフォーマットで入力します。
|
[ポート番号] | 必要に応じて、LDAPサーバーのポート番号を変更します。 通常はそのままお使いいただけます。 初期値は[389]です。 |
[検索ベース1]~[検索ベース3] | 認証するユーザーを検索するときの、検索の起点と範囲を設定します。
|
[タイムアウト時間] | 必要に応じて、LDAPサーバーとの通信のタイムアウト時間を変更します。 初期値は[60]秒です。 |
[認証方式] | LDAPサーバーへログインするときの、認証方式を選びます。 お使いのLDAPサーバーで採用している認証方式に合わせて選びます。
初期値は[Simple]です。 |
[ログイン名] | LDAPサーバーへログインして、ユーザーの検索が行えるログイン名を入力します(全角/半角64文字以内)。 |
[パスワード] | [ログイン名]に入力したユーザー名のパスワードを入力します("を除く半角64文字以内)。 パスワードを入力(変更)する場合は、[パスワードを変更する]にチェックをつけてから、新しいパスワードを入力します。 |
[ドメイン名] | LDAPサーバーへログインするためのドメイン名を入力します(半角64文字以内)。 [認証方式]で[GSS-SPNEGO]を選んだ場合は、Active Directoryのドメイン名を入力します。 |
[referral設定] | 必要に応じて、referral機能を使うかどうかを選びます。 LDAPサーバーの環境に応じて設定してください。 初期値は[使用する]です。 |
[検索属性] | ICカード情報を入力した場所に対応する属性を入力します(半角63文字以内、記号は-のみ使用可能)。 属性値は、半角英字で始める必要があります。 初期値は[uid]です。 |
[ユーザー名] | 本機にログインするときのユーザー名の取得方法を選びます。
初期値は[カードIDを使用]です。 |
LDAPサーバーとの通信をSSLで暗号化している場合は、管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[代替認証サーバー登録]で、[編集]をクリックして、次の設定をします。
設定 | 説明 | |
---|---|---|
[SSL使用設定] | SSLで通信するときは、チェックをつけます。 初期値は[OFF](チェックなし)です。 | |
[ポート番号(SSL)] | 必要に応じて、SSL通信用のポート番号を変更します。 通常はそのままお使いいただけます。 初期値は[636]です。 | |
[証明書検証強度設定] | 証明書の検証を行う場合は、検証する項目を選びます。 それぞれの項目で[確認する]を選ぶと、その項目について、証明書の検証を行います。 | |
[有効期限] | 証明書が有効期限内かどうかを確認します。 初期値は[確認する]です。 | |
[CN] | 証明書のCN(Common Name)が、サーバーのアドレスと一致しているかどうかを確認します。 初期値は[確認しない]です。 | |
[鍵使用法] | 証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します。 初期値は[確認しない]です。 | |
[チェーン] | 証明書のチェーン(証明書のパス)に問題がないかどうかを確認します。 チェーンの確認は、本機で管理している外部証明書を参照して行います。 初期値は[確認しない]です。 | |
[失効確認] | 証明書が失効していないかどうかを確認します。 証明書の失効確認は、以下の順番で行います。
初期値は[確認しない]です。 |
優先認証サーバーと代替認証サーバーの接続状態は、管理者モードの[ユーザー認証/部門管理]-[優先/代替サーバー接続状態]-[LDAP-ICカード認証]で確認できます。[接続可]と表示されている場合は、優先認証サーバーと代替認証サーバーのどちらも接続できます。
LDAPサーバーに登録されていないICカードを使って本機で認証を行ったときに、LDAPサーバーへのICカードの登録を、ユーザーが行えるように設定します。
新しいICカードの情報をユーザー自身がLDAPサーバーに登録できるため、ユーザーや管理者の負荷を軽減できます。
管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[カード情報登録設定]-[カード情報登録設定]で、次の設定をします。
設定 | 説明 |
---|---|
[カード情報登録設定] | LDAPサーバーに登録されていないICカードを使って本機で認証を行ったときに、LDAPサーバーへICカードの登録を行うように設定するときは、[使用する]を選びます。 [使用する]を選んだ場合、[ユーザー名とする属性]に、ユーザー名として検索する属性(「uid」など)を入力します。 初期値は[使用しない]です。 |
[カード情報登録設定]で[使用する]を選んだ場合、[LDAP-ICカード認証設定]の設定が以下のように切替ります。
代替認証サーバーを使用しないように設定してある場合:
[サーバー登録]の[ユーザー名]が[サーバーから取得]に設定されます。
[サーバー登録]の[ユーザー名とする属性]に、この設定の[ユーザー名とする属性]で指定したものと同じ属性が設定されます。
代替認証サーバーを使用するように設定してある場合:
[サーバー登録]の[ユーザー名]が[サーバーから取得]に設定されます。
[サーバー登録]の[ユーザー名とする属性]に、この設定の[ユーザー名とする属性]で指定したものと同じ属性が設定されます。
[代替認証サーバー登録]の[ユーザー名]が[サーバーから取得]に設定されます。
[代替認証サーバー登録]の[ユーザー名とする属性]に、この設定の[ユーザー名とする属性]で指定したものと同じ属性が設定されます。
この機能を使うには、あらかじめユーザーがICカード情報を登録できるように設定しておく必要があります。本機の操作パネルで、[管理者設定]-[環境設定]-[ユーザー操作禁止設定]-[変更禁止設定]-[生体/ICカード情報登録]を[許可]に設定してください(初期値:[禁止])。