ホーム機能 / 設定キーの説明LDAP-ICカード認証設定

LDAP-ICカード認証設定

表示するには:
  • [設定メニュー]
    • [管理者設定]
      • [ユーザー認証/部門管理]
        • [認証方式]
          • [LDAP-ICカード認証設定]

認証装置(ICカード認証タイプ)を接続してICカードによるユーザー認証を導入している場合に、認証カードに登録されているカードIDを使って、LDAPサーバーで認証するための設定をします。

[管理者設定]-[ユーザー認証/部門管理]-[認証方式]-[ユーザー認証]-[認証方式]で[外部サーバー認証]または[本体+外部サーバー]を選んだ場合に設定できます。

設定

説明

[使用する]/[使用しない]

認証カードに登録されているカードIDを使って、LDAPサーバーで認証するかどうかを選びます。

認証する場合は、LDAPサーバーを登録します。2つのサーバーをグループにすることで、サーバーがダウンしたときに、もう一方のサーバーに切換えて認証を行うことができます。設定内容について詳しくは、下記の「認証サーバーの新規登録/編集」をごらんください。

初期値は[使用しない]です。

認証サーバーの新規登録/編集

設定

説明

[サーバー名称]

お使いの認証サーバーグループの名前を入力します(半角32文字以内)。

登録する認証サーバーグループに、わかりやすい名前をつけます。

[第1サーバー登録]

サーバーグループの第1サーバーを登録します。

設定内容について詳しくは、下記の[第1サーバー登録]の設定内容をごらんください。

[第2サーバー設定]

第1サーバーに接続できないときに第2サーバーへ接続するための設定をします。

設定内容について詳しくは、下記の[第2サーバー設定]の設定内容をごらんください。

[ラウンドロビン機能]

第1サーバーと第2サーバーへ交互に接続するかどうかを選びます。

[有効]を選ぶと、第1サーバーと第2サーバーに交互に接続することで、サーバーの負荷を分散することができます。

初期値は[無効]です。

[外部認証サーバー]

LDAP-ICカード認証を連携させる外部認証サーバーグループを選びます。

LDAP-ICカード認証が成功すると、本機でユーザーを管理するために、ユーザーの認証情報が本機に登録されます。この認証情報には、ユーザー名と外部認証サーバー名が含まれます。ここで選択した外部認証サーバー名が、ユーザー名と合わせて本機に登録されます。

[カード情報登録設定]

LDAPサーバーに登録されていないICカードを使って本機で認証を行ったときに、LDAPサーバーへICカードの登録を行うかどうかを選びます。

[使用する]を選んだ場合、次の設定をします。

  • [第1サーバー]:[ユーザー名とする属性]をタップして、ユーザー名として検索する属性(「uid」など)を指定します。

  • [第2サーバー]:第1サーバーと同じ設定にする場合は[第1サーバーと共通]をタップします。第1サーバーと異なる設定にする場合は、[ユーザー名とする属性]をタップして、ユーザー名として検索する属性を指定します。

  • [カード情報登録先サーバー]:カード情報を登録するサーバーを指定します。[認証成功したサーバー]を選ぶと、第1サーバーと第2サーバーのうち、認証が成功したサーバーに登録します。

初期値は[使用しない]です。

[検索時のカード情報文字種]

LDAPサーバーでカードIDを検索するときの、検索文字列の変換方法を選びます。

サーバー上の検索対象となるカード属性情報が大文字または小文字に統一されている場合、検索文字列の文字種を変換することで検索速度を短縮できる場合があります。

  • [大文字・小文字]:カードIDを大文字と小文字に、それぞれ変換して検索します。

  • [大文字]:カードIDを大文字に変換して検索します。

  • [小文字]:カードIDを小文字に変換して検索します。

初期値は[大文字・小文字]です。

[第1サーバー登録]の設定内容

設定

説明

[LDAPサーバー登録]

ICカードのユーザーIDを認証するLDAPサーバーを登録します。

[接続確認]をタップすると、入力した内容でLDAPサーバーへの接続を試行して、登録内容が正しいかどうかを確認します。

[設定全リセット]をタップすると、入力した内容を、すべてリセットします。

[ユーザー名の取得]

本機にログインするときのユーザー名の取得方法を選びます。

  • [カードIDを使用]:サーバーに、ICカード情報のみを登録している場合に選びます。ICカードにあるカードIDをユーザー名として使います。

  • [サーバーから取得]:サーバーに、ICカード情報以外のユーザー情報を登録している場合に選びます。サーバーから取得したユーザー名を使います。ユーザー名として検索する属性(「uid」など)を、[ユーザー名とする属性]に入力します。

初期値は[カードIDを使用]です。

[タイムアウト時間]

必要に応じて、LDAPサーバーとの通信のタイムアウト時間を変更します。

初期値は[60秒]です。

[検索属性]

ICカード情報を入力した場所に対応する属性を入力します(半角64文字以内)。

属性値は、半角英字で始める必要があります。

初期値は[uid]です。

[検索ディレクトリサービス]

[Active Directory]を選ぶと、認証時の検索対象をユーザーに限定できます。認証時の検索対象をユーザーに限定すると、サーバー側で検索対象を判別する処理が発生するため、認証時間が遅くなる場合があります。この機能は、認証サーバーがActive Directory(Windows Server 2008以降)の場合に利用できます。

初期値は[その他]です。

[サーバーアドレス]

LDAPサーバーのアドレスを入力します。

次のいずれかのフォーマットで入力します。

  • ホスト名の入力例:「host.example.com」

  • IPアドレス(IPv4)の入力例:「192.168.1.1」

  • IPアドレス(IPv6)の入力例:「fe80::220:6bff:fe10:2f16」

[検索ベース1]~[検索ベース3]

認証するユーザーを検索するときの、検索の起点を指定します。

  • [検索ベース]:検索の起点を指定します(半角255文字以内)。
    入力例:「cn=users,dc=example,dc=com」

  • [検索範囲]:ツリーの検索範囲を選びます。初期値は[ツリー全体]です。
    [ツリー全体]を選ぶと、入力した起点から下のツリー構造も含めて検索します。[直下1階層のみ]を選ぶと、入力した起点の直下の1階層のみを検索します。この場合、起点の階層自体は検索対象に含まれません。

[SSL使用設定]

LDAPサーバーとの通信にSSLを使うかどうかを選びます。

初期値は[使用しない]です。

[ポート番号]

必要に応じて、LDAPサーバーのポート番号を変更します。

通常はそのままお使いいただけます。

初期値は[389]です。

[ポート番号(SSL)]

必要に応じて、SSL通信用のポート番号を変更します。

通常はそのままお使いいただけます。

初期値は[636]です。

[証明書検証強度設定]

SSLで通信するときに証明書の検証を行う場合は、検証する項目を選びます。

  • [有効期限]:証明書が有効期限内かどうかを確認します。初期値は[確認する]です。

  • [鍵使用法]:証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します。初期値は[確認しない]です。

  • [チェーン]:証明書のチェーン(証明書のパス)に問題がないかどうかを確認します。チェーンの確認は、本機で管理している外部証明書を参照して行います。初期値は[確認しない]です。

  • [失効確認]:証明書が失効していないかどうかを確認します。初期値は[確認しない]です。

  • [CN]:証明書のCN(Common Name)が、サーバーのアドレスと一致しているかどうかを確認します。初期値は[確認しない]です。

[認証形式]

LDAPサーバーへログインするときの、認証方式を選びます。

お使いのLDAPサーバーで採用している認証方式に合わせて選びます。

  • [Simple]

  • [Digest-MD5]

  • [GSS-SPNEGO]

  • [NTLM v1]

  • [NTLM v2]

初期値は[Simple]です。

[referral設定]

必要に応じて、referral機能を使うかどうかを選びます。

LDAPサーバーの環境に応じて設定してください。

初期値は[使用する]です。

[ログイン名]

LDAPサーバーへログインして、ユーザーの検索が行えるユーザー名を入力します(全角/半角64文字以内)。

ここで入力するユーザー(名)は、LDAPサーバー内で特定の管理者グループに所属させる必要があります。

[パスワード]

[ログイン名]に入力したユーザーのパスワードを入力します(半角64文字以内)。

[ドメイン名]

LDAPサーバーへログインするためのドメイン名を入力します(半角64文字以内)。

[認証形式]で[GSS-SPNEGO]を選んだ場合は、Active Directoryのドメイン名を入力します。

[第2サーバー設定]の設定内容

設定

説明

[使用する]/[使用しない]

第2サーバーを使うかどうかを選びます。

初期値は[使用しない]です。

[再接続設定]

第1サーバーに接続できないときに第2サーバーへ接続するための設定をします。ラウンドロビン機能が有効の場合は、第2サーバーに接続できないときに第1サーバーへ接続するための設定にもなります。

  • [ログイン毎に接続]:本機での認証時に毎回、第1サーバーへ接続します。第1サーバーがダウンしている場合は、第2サーバーへ接続します。

  • [指定時間毎に接続]:本機での認証時に第1サーバーがダウンしている場合、第2サーバーへ接続します。以後、[再接続時間]で設定した時間を経過するまでの間、本機での認証時に第2サーバーへ接続します。[再接続時間]で設定した時間を経過した後は、本機での認証時に再度、第1サーバーへ接続します。

初期値は[指定時間毎に接続]です。

[第2サーバー登録]

第2サーバーを登録します。

設定内容について詳しくは、上記の[第1サーバー登録]の設定内容をごらんください。

第1サーバーの設定を引用して第2サーバーの設定を行うには、[第1サーバーから引用]をタップします。