ホームWeb設定ツール認証カードを使ってLDAPサーバーで認証する(LDAP-ICカード認証)

認証カードを使ってLDAPサーバーで認証する(LDAP-ICカード認証)

設定の流れ

認証カードに登録されているカードIDを使って、LDAPサーバーで認証するように設定できます(LDAP-ICカード認証)。

ICカードをかざすだけで認証が完了するので、ユーザーの利便性を損なうことなく、セキュリティを強化できます。

認証カードを使って認証するには、次の手順で設定してください。

  1. 本機でICカード認証装置を使えるようにする(こちら

  2. LDAP-ICカード認証の基本設定をする(こちら

  3. お使いの環境に合わせて設定する

LDAP-ICカード認証の基本設定をする

  1. Web Connectionの管理者モード(または本機の[設定メニュー]-[管理者])の[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[LDAP-ICカード認証設定]で、次の設定をします。

    設定

    説明

    [LDAP-ICカード認証設定]

    認証カードに登録されているカードIDを使ってLDAPサーバーで認証する場合は、オンにします(初期値:オフ)。

  2. Web Connectionの管理者モード(または本機の[設定メニュー]-[管理者])の[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]をクリックします。

  3. [第1サーバー]の[編集]をクリックして、次の設定をします。

    設定

    説明

    [LDAP-ICカード認証サーバー名称]

    認証サーバーの名前を入力します(半角32文字以内)。

    [外部認証サーバー]

    LDAP-ICカード認証を連携させる外部認証サーバーを選びます(初期値:[選択なし])。

    認証が成功すると、本機でユーザーを管理するために、ユーザーの認証情報が本機に登録されます。この認証情報には、ユーザー名と外部認証サーバー名が含まれます。ここで選択した外部認証サーバー名が、ユーザー名と合わせて本機に登録されます。

    [カード情報登録設定]

    LDAPサーバーに登録されていないICカードを使って本機で認証を行ったときに、LDAPサーバーにカード情報の登録を行うかどうかを選びます(初期値:[使用しない])。

    • [カード情報登録先サーバー]:カード情報を登録するサーバーを指定します。[認証成功したサーバー]を選ぶと、第1サーバーと第2サーバーのうち、認証が成功したサーバーに登録します。

    • [ユーザー名とする属性]:ユーザー名として検索する属性を指定します。

    [検索時のカード情報文字種]

    LDAPサーバーでカードIDを検索するときの、検索文字列の変換方法を選びます(初期値:[大文字・小文字])。

    サーバー上の検索対象となるカード属性情報が大文字または小文字に統一されている場合、検索文字列の文字種を変換することで検索速度を短縮できる場合があります。

    • [大文字・小文字]:カードIDを大文字と小文字に、それぞれ変換して検索します。

    • [大文字]:カードIDを大文字に変換して検索します。

    • [小文字]:カードIDを小文字に変換して検索します。

    [サーバーアドレス]

    LDAPサーバーのアドレスを入力します。次のいずれかのフォーマットで入力します。

    • ホスト名の入力例:「host.example.com」

    • IPアドレス(IPv4)の力例:「192.168.1.1」

    • IPアドレス(IPv6)の入力例:「fe80::220:6bff:fe10:2f16」

    [ポート番号]

    必要に応じて、LDAPサーバーのポート番号を変更します(初期値:[389])。

    [検索ベース1]~[検索ベース3]

    認証するユーザーを検索するときの、検索の起点と範囲を設定します。

    • [検索ベース]:検索の起点を指定します(半角255文字以内)。
      入力例:「cn=users,dc=example,dc=com」

    • [検索範囲]:ツリーの検索範囲を選びます(初期値:[ツリー全体])。
      [ツリー全体]:入力した起点から下のツリー構造も含めて検索します。
      [直下1階層のみ]:入力した起点の直下の1階層のみを検索します。この場合、起点の階層自体は検索対象に含まれません。

    [タイムアウト時間]

    必要に応じて、LDAPサーバーとの通信のタイムアウト時間を変更します(初期値:[60]秒)。

    [認証方式]

    お使いの環境に合わせて、LDAPサーバーへログインするときの認証方式を選びます(初期値:[Simple])。

    • [ログイン名]:LDAP認証で使用するログイン名を入力します(全角/半角64文字以内)。ここで入力するユーザー(名)は、LDAPサーバー内で特定の管理者グループに所属させる必要があります。

    • [パスワード]:LDAP認証で使用するパスワードを入力します(半角64文字以内)。

    • [ドメイン名]:[認証方式]で[GSS-SPNEGO]を選んだ場合は、Active Directoryのドメイン名を入力します(半角64文字以内)。

    [referral設定]

    referral機能を使うかどうかを選びます(初期値:[使用する])。

    [検索属性]

    LDAP検索するときに、ユーザー名の前に自動的に追加する検索属性を入力します(半角64文字以内)。属性値は、半角英字で始める必要があります(初期値:[uid])。

    [ユーザー名]

    本機にログインするときのユーザー名の取得方法を選びます(初期値:[カードIDを使用])。[カード情報登録設定]で[使用する]を選んだ場合は[サーバーから取得]が選択され、変更できません。

    • [カードIDを使用]:サーバーに、ICカード情報のみを登録している場合に選びます。ICカードにあるカードIDをユーザー名として使います。

    • [サーバーから取得]:サーバーに、ICカード情報以外のユーザー情報を登録している場合に選びます。サーバーから取得したユーザー名を使います。ユーザー名として検索する属性(「uid」など)を、[ユーザー名とする属性]に入力します。

    [検索ディレクトリサービス]

    [Active Directory]を選ぶと、認証時の検索対象をユーザーに限定できます(初期値:[その他])。認証時の検索対象をユーザーに限定すると、サーバー側で検索対象を判別する処理が発生するため、認証時間が遅くなる場合があります。この機能は、認証サーバーがActive Directory(Windows Server 2008以降)の場合に利用できます。

  4. 必要に応じて、[第2サーバー]の[編集]をクリックして、次の設定をします。

    設定

    説明

    [第2サーバー設定]

    第2サーバーを使う場合は、オンにします(初期値:オフ)。

    [ラウンドロビン機能]

    ラウンドロビン機能を使う場合は、オンにします(初期値:オフ)。

    ラウンドロビン機能を使うと、第1サーバーと第2サーバーに交互に接続することで、サーバーの負荷を分散することができます。

    [再接続設定]

    第1サーバーに接続できないときに第2サーバーへ接続するための設定をします(初期値:[指定時間毎に接続])。ラウンドロビン機能が有効の場合は、第2サーバーに接続できないときに第1サーバーへ接続するための設定にもなります。

    • [ログイン毎に接続]:本機での認証時に毎回、第1サーバーへ接続します。第1サーバーがダウンしている場合は、第2サーバーへ接続します。

    • [指定時間毎に接続]:本機での認証時に第1サーバーがダウンしている場合、第2サーバーへ接続します。以後、[再接続時間]で設定した時間を経過するまでの間、本機での認証時に第2サーバーへ接続します。[再接続時間]で設定した時間を経過した後は、本機での認証時に再度、第1サーバーへ接続します。

    [カード情報登録設定]

    LDAPサーバーに登録されていないICカードを使って本機で認証を行ったときに、LDAPサーバーにカード情報の登録を行うかどうかを選びます。

    • [第1サーバーと共通]:第1サーバーと同じ設定にする場合は[有効]を選びます。第1サーバーと異なる設定にする場合は[無効]を選び、[ユーザー名とする属性]でユーザー名として検索する属性を指定します。

    第2サーバー情報

    第2サーバーを登録します。

    設定内容について詳しくは、第1サーバーの登録内容をごらんください。

    第1サーバーの設定を引用して第2サーバーの設定を行うには、[第1サーバーから引用]をタップします。

  • 第1認証サーバーと第2認証サーバーの接続状態は、[ユーザー認証/部門管理]-[認証サーバー接続状態]-[LDAP-ICカード認証]で確認できます。[接続可能]と表示されている場合は、第1認証サーバーと第2認証サーバーのどちらも接続できます。

SSLで通信する

お使いの環境でSSLを導入している場合は、SSLを有効にします。

Web Connectionの管理者モード(または本機の[設定メニュー]-[管理者])の[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]で、次の設定をします。

設定

説明

[SSL使用設定]

SSLで通信する場合は、オンにします(初期値:オフ)。

  • [ポート番号(SSL)]:必要に応じて、SSL通信用のポート番号を変更します(初期値:[636])。

[証明書検証強度設定]

SSLで通信するときに証明書の検証を行う場合は、検証する項目を選びます。

  • [有効期限]:証明書が有効期限内かどうかを確認します(初期値:オン)。

  • [CN]:証明書のCN(Common Name)が、サーバーのアドレスと一致しているかどうかを確認します(初期値:オフ)。

  • [鍵使用法]:証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します(初期値:オフ)。

  • [チェーン]:証明書のチェーン(証明書のパス)に問題がないかどうかを確認します(初期値:オフ)。チェーンの確認は、本機で管理している外部証明書を参照して行います。

  • [失効確認]:証明書が失効していないかどうかを確認します(初期値:オフ)。失効確認は、OCSP(Online Certificate Status Protocol)サービス、CRL(Certificate Revocation List)の順番で行います。