Функции управления

Информация, зарегистрированная в функции аутентификации пользователей

Можно зарегистрировать до 5 001 пользователей.

Регистрация ИД отделов

Можно зарегистрировать до 1 000 идентификаторов отделов.

Функции аутентификации

Если в качестве сервера аутентификации указан сервер Active Directory, требуется одна из следующих операционных систем.
Программное обеспечение (операционная система):
Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2/Windows Server 2022*2
*1 64-разрядные операционные системы не поддерживаются.
*2 Если для политик, относящихся к KDC (групповые политики), установлена защита Kerberos, пользователи не могут входить в систему с использованием аутентификации Active Directory. Обязательно отключите защиту Kerberos.
Следующие способы шифрования Kerberos для аутентификации Active Directory поддерживаются текущей версией аутентификации пользователей.
Способ шифрования
AES (128 бит)
AES (256 бит)
DES (стандарт шифрования данных)
RC4
Доступные способы шифрования могут отличаться в зависимости от настроек Active Directory.
Из доступных способов шифрования автоматически выбирается способ с наибольшей криптостойкостью шифра.
При указании сервера Active Directory в качестве сервера аутентификации используйте следующие порты*1 на сервере.
Для связи с DNS-сервером:
порт номер 53
Для связи с KDC (Key Distribution Center — центр распространения ключей):
порт номер 88
Для связи с сервером для службы каталогов LDAP (для службы LDAP можно установить произвольный номер порта):
порт номер 389
*1 Указанные выше номера портов — это значения по умолчанию. Эти номера зависят от выбранных параметров.
При указании сервера LDAP в качестве сервера аутентификации требуется одна из следующих операционных систем.
Программное обеспечение:
OpenLDAP
Операционная система:
Требования соответствуют техническим характеристикам сервера LDAP.
При указании сервера LDAP в качестве сервера аутентификации используйте следующие порты*1 на сервере.
Для связи с сервером LDAP с использованием LDAP (протокол TLS включен):
порт номер 636
Для связи с сервером LDAP с использованием LDAP (протокол TLS отключен):
порт номер 389
*1 Номера портов могут быть изменены в соответствии с параметрами сервера LDAP.

Параметры брандмауэра

При указании IP-адресов в параметрах брандмауэра для протоколов IPv4 и IPv6 можно указать до 16 IP-адресов (или диапазонов IP-адресов).
При указании MAC-адресов в параметрах брандмауэра можно указать до 100 MAC-адресов.
Адреса исключений и номера портов исключений, которые можно использовать для связи с использованием дополнительной линии и которые зарегистрированы по умолчанию, указаны ниже.
Адреса исключений:
0.0.0.1 – 255.255.255.255
Номера портов исключений:
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
* Только фильтр входящего трафика

Регистрация ключей и сертификатов

При установке ключа или сертификата СА с компьютера убедитесь, что они соответствуют следующим требованиям:
Формат
Ключ: PKCS#12*1
Сертификат CA: X.509 DER/PEM
Расширение файла
Клавиша: «.p12» или «.pfx»
Сертификат СА: «.cer» или «.pem»
Алгоритм с общедоступным ключом
(и длина ключа)
RSA (512 бит, 1024 бит, 2048 бит, 4096 бит)
DSA (1024 бит, 2048 бит, 3072 бит)
ECDSA (P256, P384, P521)
Алгоритм подписи сертификата
RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5
DSA: SHA-1
ECDSA: SHA-1, SHA-256, SHA-384, SHA-512
Алгоритм отпечатка сертификата
SHA-1
*1 Требования к сертификату, содержащемуся в ключе, соответствуют сертификатам CA.
*2 SHA384-RSA и SHA512-RSA доступны только в том случае, если длина ключа RSA составляет 1024 бит или более.

Регистрация списков отзыва сертификатов (CRL)

Можно зарегистрировать до 50 списков отзыва сертификатов (CRL). Однако следует отметить, что в следующих случаях регистрация списков отзыва сертификатов невозможна:
объем данных списка отзыва сертификатов превышает 1 Мб;
используется неподдерживаемый алгоритм подписи;
число отозванных сертификатов, зарегистрированных в одном файле списка отзыва сертификатов, превышает 1 000.

Определение «слабого шифрования»

Если выбрано [Запретить использов. слабого кодирования], запрещено использовать следующие алгоритмы.
Хэш:
MD4, MD5, SHA-1
HMAC:
HMAC-MD5
Одноключевая криптосистема:
RC2, RC4, DES
Криптосистема с открытым ключом:
шифрование RSA (512 бит/1024 бит), подпись RSA (512 бит/1024 бит), DSA (512 бит/1024 бит), DH (512 бит/1024 бит)
Даже если выбрано [Запретить исп. ключ/сертиф. со слабым кодир.], нельзя использовать хэш-алгоритм SHA-1, применяемый для подписывания корневого сертификата.

Стандартный алгоритм FIPS 140-2

Если выбрано [Форм. метод кодирования в FIPS 140-2], запрещено использовать следующие алгоритмы.
Хэш:
MD4, MD5, SHA-1 (для целей, отличных от TLS)
Одноключевая криптосистема:
RC2, RC4, DES, PBE
Криптосистема с открытым ключом:
шифрование RSA (512/1024 бита), подпись RSA (512/1024 бита), подпись DSA (512/1024 бита), DH (512/1024 бита)

Управление журналами

На аппарате можно управлять следующими типами журналов. Сохраненные журналы можно экспортировать в файл формата CSV.
Тип журнала
Номер, обозначающий «Тип журнала» в файле CSV
Описание
Журнал аутентификации
пользователей
4098
Этот журнал содержит сведения, касающиеся состояния аутентификации пользователей (вход в систему или выход из системы и успех/сбой аутентификации пользователей), регистрации, изменения, удаления сведений о пользователях, управляемых с помощью аутентификации пользователей.
Журнал заданий
1001
Этот журнал содержит сведения, касающиеся завершения заданий на печать.
Журнал приема
8193
Этот журнал содержит сведения, касающиеся приема.
Журнал управления аппаратом
8198
Этот журнал содержит сведения, касающиеся запуска/завершения работы аппарата и изменений параметров в разделе <З-ть>. В журнале управления аппаратом также регистрируются изменения сведений о пользователе или параметров, связанных с безопасностью, когда аппарат находится на диагностике или в ремонте у дилера или в сервисном центре.
Журнал аутентификации сети
8200
В этот журнал записываются сведения при сбое связи по протоколу IPSec.
Журнал функции «Экспортировать/импортировать все»
8202
Этот журнал содержит сведения, касающиеся импорта/экспорта параметров с помощью функции «Импортировать/экспортировать все».
Журнал операций на экране управления приложениями/программным обеспечением
3101
Это журнал операций для регистрации/обновления программного обеспечения, установщиков приложений AddOn и т. д.
Журнал политики безопасности
8204
Этот журнал содержит сведения, касающиеся состояний параметров политики безопасности.
Журнал обслуживания системы
8206
Этот журнал содержит сведения, касающиеся обновлений встроенного ПО, резервного копирования/восстановления приложений AddOn и т. д.
Журнал печати с проверкой подлинности
8207
Этот журнал содержит сведения, касающиеся истории операций с принудительно отложенными заданиями на печать.
Журнал для управления журналами аудита
3001
Этот журнал содержит информацию, относящуюся к включению или отключению этой функции (управление журналами аудита), а также к экспорту журналов и т. д.
Журнал может содержать до 40 000 записей. Если количество записей превышает 40 000, они удаляются, начиная с самых старых.

Импорт/экспорт параметров

Дополнительные сведения см. в разделе «Таблица «Параметры/регистрация»».

Поддержка сервера SCEP

Поддерживается только служба регистрации сертификатов для сетевых устройств (Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016).
93WY-09U