管理功能
用户认证中的注册信息
最多可注册5,001个用户。
注册部门IDs
最多可注册1,000个用户。
身份认证功能
如果指定某动态目录服务器作为认证服务器,需要下列系统环境。
软件(操作系统): | Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2 |
*1 不支持64位操作系统。 *2 如果KDC相关策略(组策略)启用了Kerberos防护,用户将不能通过Active Directory认证登录。务必禁用Kerberos防护。 | |
当前用户身份认证版本支持的用于动态目录认证的Kerberos加密方法如下。
加密方法 | 128位AES(高级加密标准) 256位AES(高级加密标准) DES(数据加密标准) RC4 |
|
可用的加密方法可能根据动态目录设置而异。 在可用的加密方法中,会自动选择密码强度最高的一种。 |
指定动态目录服务器作为认证服务器时,在服务器上使用以下端口*1。
与域名服务器通信: | 端口53 |
与KDC(密钥分配中心)通信: | 端口88 |
为了LDAP目录服务与服务器进行通信(可改为任意端口用于LDAP服务): | 端口389 |
*1 上述端口号是默认值。这些端口号可能随着所选的设置而变化。 | |
如果指定某LDAP服务器作为认证服务器,需要下列系统环境。
软件: | OpenLDAP |
操作系统: | 要求符合LDAP服务器的产品规范。 |
指定LDAP服务器作为认证服务器时,在服务器上使用以下端口*1。
使用LDAP与LDAP服务器通信(TLS已启用): | 端口636 |
使用LDAP与LDAP服务器通信(TLS已禁用): | 端口389 |
*1 可根据LDAP服务器设置更改端口号。 | |
防火墙设置
在防火墙设置中指定IP地址,最多可以分别指定16个IPv4 与 IPv6 IP地址(或IP地址范围)。
在防火墙设置中指定MAC地址,最多可以指定100个MAC地址。
可用于子线路通信以及默认注册的例外地址和例外端口号如下所示。
例外地址: | 0.0.0.1到255.255.255.255 |
例外端口号: | 53,67,68,80,161,443,515*,631*,3702,5353,5357,5358,8000*,8080,8443*,9013,9100*,10443*,20010*,47545 |
* 仅入站筛选器 | |
密钥与证书注册
如果从计算机安装密钥或CA证书,请确保其符合以下要求:
格式 | 密钥:PKCS#12*1 CA证书:X.509 DER/PEM |
文件扩展名 | 密钥:“.p12”或“.pfx” CA证书::“.cer”或“.pem” |
公钥加密算法 (及密钥长度) | RSA(512 位、1,024 位、2,048 位、4,096 位) DSA(1,024 位、2,048 位、3,072 位) ECDSA (P256、P384、P521) |
证书签名算法 | RSA:SHA-1、SHA-256、SHA-384*2、SHA-512*2、MD2、MD5 DSA:SHA-1 ECDSA:SHA-1、SHA-256、SHA-384、SHA-512 |
证书指纹算法 | SHA-1 |
*1 对于密钥中所包含证书的要求依照CA证书。 *2 仅在RSA密钥长度在1,024 位或以上时,SHA384-RSA 和 SHA512-RSA 才可用。 | |
证书吊销列表(CRL)注册
最多可以注册50个证书吊销列表(CRL)。注意,在下列情况中不能注册CRL。
CRL的数据大小超过1 MB。
使用了不支持的签名算法。
单一CRL中所注册的吊销证书数量超过1,000。
“弱加密”定义
在选择了[禁止使用弱加密]时,禁止使用下列算法。
哈希: | MD4,MD5,SHA-1 |
HMAC: | HMAC-MD5 |
通用密钥密码系统: | RC2,RC4,DES |
公用密钥密码系统: | RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA(512 位/1024 位),DH(512 位/1024 位) |
|
即使在选择了[禁止使用弱加密的密钥/证书]时,也可以使用哈希算法SHA-1签署根证书。 |
FIPS 140-2标准算法
在选择了[以FIPS 140-2作为加密方法的格式]时,禁止使用下列算法。
哈希: | MD4,MD5,SHA-1(用于TLS以外的用途) |
通用密钥密码系统: | RC2、RC4、DES、PBE |
公用密钥密码系统: | RSA 加密(512 位/1024 位),RSA 签名(512 位/1024 位),DSA签名(512 位/1024 位),DH(512 位/1024 位) |
日志管理
可以在本机上管理以下日志类型。收集能够以CSV文件格式导入的日志。
日志类型 | CSV文件中指示"日志类型"的数字 | 说明 |
用户身份认证 日志 | 4098 | 该日志包含的信息涉及用户身份认证的认证状态(登录/退出以及用户身份认证成功/失败)、用户身份认证管理的用户信息的注册/更改/删除。 |
作业日志 | 1001 | 该日志包含与打印作业的完成相关的信息。 |
接收日志 | 8193 | 该日志包含与接收相关的信息。 |
机器管理日志 | 8198 | 该日志所含信息涉及机器的启动/关闭和使用<设置>对设置进行的更改。如果您的经销商或维修代表对机器进行了检查或维修,则机器管理日志同样会记录用户信息或安全相关设置的更改。 |
网络认证日志 | 8200 | 当IPSec通信失败时,该日志进行记录。 |
导出/导入全部日志 | 8202 | 该日志所含信息涉及使用导出全部/导入全部功能进行设置的导入/导出。 |
应用程序/软件管理屏幕操作日志 | 3101 | 这是软件注册/更新以及AddOn应用程序安装程序等的操作日志。 |
安全策略日志 | 8204 | 该日志所含信息涉及安全策略参数的设置状态。 |
系统管理日志 | 8206 | 该日志所含信息涉及固件更新以及AddOn应用程序的备份/恢复等操作。 |
认证打印日志 | 8207 | 该日志所含的信息与操作历史记录和被迫暂停的打印作业有关。 |
审计日志管理日志 | 3001 | 该日志所含信息涉及本功能(审计日志管理功能)的启动与停止,以及日志的导出等操作。 |
|
日志可以保护最多40,000条记录。当记录超过40,000条时,将删除多余部分,从保存时间最长的记录开始。 |
设置数据的导入/导出
请参阅设置/注册表。
SCEP服务器支持
仅支持Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016的网络设备注册服务(NDES)。