Регистрация сведений о сервере

Чтобы указать в качестве дополнительного устройства аутентификации Active Directory/сервер LDAP/Microsoft Entra ID, необходимо зарегистрировать информацию о сервере, который используется для аутентификации. Проверьте подключение к серверу.

Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)

На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)

Нажмите [User Management]

[Authentication Management].

Нажмите кнопку [Server Settings]

[Edit...].

Укажите сведения о домене и сервере аутентификации.

[Use Active Directory]

Установите этот флажок, если используется служба Active Directory.

[Set Domain List:]

Укажите, выполняется ли получение сведений Active Directory о местоположении для входа автоматически или эти сведения необходимо вводить вручную. Чтобы ввести информацию вручную, установите переключатель [Set Manually] и укажите домен местоположения для входа в поле [Active Directory Management...].

[Use access mode within sites]

Установите этот флажок, если имеется несколько серверов Active Directory и приоритетным необходимо сделать сервер Active Directory, расположенный в том же сайте, что и аппарат. Установите соответствующие переключатели для параметров [Timing of Site Information Retrieval:] и [Site Access Range:].

Даже если установлен параметр [Only site to which device belongs] в [Site Access Range:], аппарат может получать доступ к сайтам за пределами того сайта, к которому он принадлежит, при выполнении доступа к контроллеру домена в процессе запуска. Однако приоритет имеет доступ к контроллерам домена на том же сайте, к которому принадлежит аппарат. Исключением являются случаи, когда не удается получить доступ к контроллерам домена на том же сайте, но можно получить доступ к контроллерам домена за пределами сайта; в таком случае приоритет отдается доступу к контроллерам домена вне сайта.

[Number of Caches for Service Ticket:]

Укажите количество билетов службы, которое аппарат может хранить. Билет службы — это функция Active Directory, которая выступает в качестве записи предыдущего входа в систему, благодаря чему последующие входы пользователя в систему занимают значительно меньше времени.

[Use LDAP server]

Установите этот флажок, если используется сервер LDAP.

[Use Microsoft Entra ID]

Установите этот флажок, если используется Microsoft Entra ID.

[Period Before Timeout]

Укажите ограничение времени для попытки подключения к серверу аутентификации и ограничение времени ожидания ответа. Если включен параметр [Save authentication information for login users] и вы не можете войти в систему в течение указанного здесь времени, выполняется попытка входа в систему с использованием аутентификационных сведений, сохраненных в кэше.

[Default Domain of Login Destination:]

Укажите приоритетный домен для подключения.

Указание домена Active Directory вручную

1	Установите флажок [Use Active Directory] и выберите для параметра [Set Domain List:] значение [Set Manually].
2	Нажмите кнопку [Active Directory Management...] [OK].
3	Выберите команду [Add Domain...].
4	Введите необходимую информацию. [Domain Name:] Введите имя домена Active Directory, который является доменом местоположения для входа (Пример: company.domain.com). [NetBIOS Name] Введите NetBIOS-имя домена (Пример: company). [Primary Host Name or IP Address:] / [Secondary Host Name or IP Address:] Введите имя узла сервера Active Directory или IPv4-адрес. Если используется дополнительный сервер, укажите его имя в поле [Secondary Host Name or IP Address:]. Пример. Использование имени хоста: ad-server1 Использование IPv4-адреса: 192.168.18.138 [User Name:] / [Password:] Введите имя пользователя и пароль для работы с сервером Active Directory и его поиска. [Starting Point for Search:] Укажите местоположение (уровень) для доступа к сведениям о пользователе и их поиска во время аутентификации сервера Active Directory. [Login Name:] / [Displayed As] / [E-Mail Address] Укажите поля данных (имена атрибутов) для имени для входа, отображаемого имени и адреса электронной почты каждой учетной записи пользователя на сервере Active Directory (Пример: sAMAccountName, cn, mail).
5	Нажмите кнопку [Connection Test], чтобы подтвердить наличие подключения, а затем нажмите кнопку [Add]. Изменение сведений о сервере Выберите сервер, сведения о котором необходимо изменить, и нажмите кнопку [Edit], внесите необходимые изменения и нажмите кнопку [Update].

Регистрация сведений о сервере LDAP

1	Установите флажок [Use LDAP server] и щелкните [LDAP Server Management...] [OK].
2	Выберите команду [Add Server...].
3	Укажите сведения о сервере LDAP. [Server Name] Введите имя сервера LDAP. Укажите имя, отличное от localhost и без пробелов. [Primary Address] Введите IP-адрес или имя узла сервера LDAP (Пример: ldap.example.com). Не используйте петлевой адрес (127.0.0.1). [Port:] Введите номер порта, используемого для обмена данными с сервером LDAP. Укажите то же значение, что и на сервере. Если оставить это поле пустым, то после установки флажка [Use TLS] автоматически будет указан порт «636», а если снять этот флажок, будет указан порт «389». [Secondary Address:] / [Port:] Если в рабочей среде используется дополнительный сервер, укажите его IP-адрес и номер порта. [Comments] Введите описание или примечание. [Use TLS] Установите этот флажок, если для связи с сервером LDAP используется протокол TLS с шифрованием данных. [Use authentication information] Снимите этот флажок, чтобы разрешить анонимный доступ к серверу LDAP (только если сервер LDAP настроен на использование анонимного доступа). Если для аутентификации используются имя пользователя и пароль, установите этот флажок и введите соответствующие данные в полях [User Name:] и [Password:]. Если установлен этот флажок и требуется изменить параметры в <Primary Address> или <Secondary Address> сервера LDAP, требуется ввод пароля, указанного в <Password:> в <Use authentication information>. [Starting Point for Search:] Укажите местоположение (уровень) для поиска сведений о пользователе во время аутентификации с помощью сервера LDAP.
4	Укажите способ задания имен атрибутов и имени домена. [User Name (Keyboard Authentication):] Укажите поле данных LDAP (имя атрибута) для имени пользователя на сервере LDAP (Пример: uid). [Login Name:] / [Display Name] / [E-Mail Address] Укажите поля данных LDAP (имена атрибутов) для имени для входа, отображаемого имени и адреса электронной почты каждой учетной записи пользователя на сервере LDAP (Пример: uid, cn, mail). [Specify the domain name] / [Specify the attribute name for domain name acquisition] Выберите способ задания имени домена местоположения для входа. Чтобы указать имя домена вручную, установите переключатель [Specify the domain name] и введите имя домена. Чтобы указать поле данных LDAP (имя атрибута), из которого следует получить имя домена на сервере LDAP, установите переключатель [Specify the attribute name for domain name acquisition] и введите имя атрибута (Пример: dc).
5	Нажмите кнопку [Connection Test], чтобы подтвердить наличие подключения, а затем нажмите кнопку [Add].

Изменение сведений о сервере

Выберите сервер, сведения о котором необходимо изменить, и нажмите кнопку [Edit], внесите необходимые изменения и нажмите кнопку [Update].

Указание информации о Microsoft Entra ID

Выберите флажок [Use Microsoft Entra ID].

Выберите команду [Domain Settings].

Отобразится диалоговое окно [Microsoft Entra ID Domain Settings].

Информация о Microsoft Entra ID

[Login Destination Name]

Введите имя, которое будет отображаться для местоположения входа в систему.

*Запрещается использовать управляющие символы или пробелы.

[Domain Name]

Введите имя домена Microsoft Entra ID, который является доменом местоположения входа в систему.

[Application ID]

Введите ИД приложения (клиента).

[Secret]

Введите секрет, сгенерированный Microsoft Entra ID. Этот параметр не нужно вводить при использовании [Key and Certificate].

[Key and Certificate]

Нажмите [Key and Certificate] при использовании ключа и сертификата. Нажмите [Export Certificate], чтобы экспортировать сертификат для регистрации в Microsoft Entra ID.

[Microsoft Entra ID Authentication URL] и[Microsoft Entra ID API URL]

Введите URL-адреса. В зависимости от облачной среды может потребоваться изменение параметров.

Укажите атрибуты.

[Login Name]

В раскрывающемся меню выберите атрибут для имени для входа в систему каждой учетной записи пользователя на сервере.
*Для указания атрибута, не отображаемого в раскрывающемся меню, можно ввести его непосредственно.

[WindowsLogonName]:

отображаемое имя получают из Microsoft Entra ID. Оно изменяется следующим образом для создания имени для входа в систему.

Пробелы и следующие символы удаляются из отображаемого имени: * + , . / : ; < > = ? \ [ ] |.

@ и любые последующие символы удаляются.

Строки с более чем 20 символами сокращаются до 20 символов или менее.

Пример.
Если отображаемое имя — user.001@example.com, то имя для входа в систему будет user001.

[Отображаемое имя]:

отображаемое имя, полученное из Microsoft Entra ID, становится именем для входа в систему.

[userPrincipalName]:

userPrincipalName, полученное из Microsoft Entra ID, становится именем для входа в систему.

[userPrincipalName-Prefix]:

часть перед знаком @ в userPrincipalName, полученном из Microsoft Entra ID, становится именем для входа в систему.

Пример.
Если userPrincipalName — user.002@mail.test, то имя для входа в систему будет user.002.

[Display Name] и [E-Mail Address]

Введите атрибуты для отображаемого имени и адреса электронной почты каждой учетной записи пользователя на сервере.

Укажите имя домена местоположения входа в систему в [Domain Name] раздела [Domain Name to Set for Login Account].

Укажите параметры в [Autocomplete for Entering User Name When Using Keyboard Authentication] раздела [Domain Name to Autocomplete].

Введите имя домена, для которого будет выполняться автоматическое завершение. Обычно задается то же имя, что установлено для [Domain Name].

Нажмите [Connection Test] для проверки соединения.

Выберите команду [Update].

На дисплее снова отображается экран [Edit Server Settings].

Введите сведения о пользователе и укажите его полномочия.

[Save authentication information for login users]

Установите этот флажок, чтобы сохранять учетные данные пользователей, которые входят в систему с помощью панели управления. Установите флажок [Save user information when using keyboard authentication], чтобы сохранять информацию о пользователях, которые входят в систему, используя аутентификацию с помощью клавиатуры из кэша. После настройки параметров сохраненные учетные данные можно будет использовать для входа даже в том случае, если аппарату не удается подключиться к серверу. Задайте соответствующее значение в поле [Retention Period:].

[User Attribute to Browse:]

Укажите поле данных (имя атрибута) на указанном сервере, которое используется для определения полномочий пользователей (ролей). Обычно можно использовать предварительно заданное значение memberOf, которое указывает на группу, которой принадлежит пользователь.

[Retrieve role name to apply from [User Attribute to Browse]]

Установите этот флажок для строки символов, зарегистрированной в поле данных на сервере, который указан в поле [User Attribute to Browse:] для имени роли. Прежде чем приступить к настройке, проверьте имена ролей, которые доступны для выбора на аппарате, и зарегистрируйте их на сервере.

[Conditions]

Можно задать условия, определяющие полномочия пользователя. Указанные ниже условия применяются в порядке их перечисления.

[Search Criteria]	Выберите условия поиска для [Character String].
[Character String]	Введите строку символов, которая зарегистрирована для атрибута, указанного в раскрывающемся списке [User Attribute to Browse:]. Чтобы задать полномочия на основе группы, к которой принадлежит пользователь, введите имя такой группы.
[Role]	Выберите полномочия для назначения пользователям, соответствующим условиям.

Настройка параметра [Условия] в случае использования серверов Active Directory

В качестве группы администраторов заранее задается группа «Администраторы периферийных устройств Canon». Назначьте различные полномочия другим группам пользователей, созданным на сервере.

Выберите команду [Update].

Перезапустите аппарат. Перезапуск аппарата


Параметры DNS В случае изменения номера порта, используемого для Kerberos на сайте Active Directory, требуется установить следующие параметры. Информацию для службы Kerberos Active Directory необходимо зарегистрировать как SRV-запись следующим образом: Служба: «_kerberos» Протокол: «_udp» Номер порта: Номер порта, используемый службой Kerberos домена (зоны) Active Directory Хост, предлагающий эту службу: Имя хоста контроллера домена, который фактически предоставляет службу Kerberos домена (зоны) Active Directory

Параметры DNS

В случае изменения номера порта, используемого для Kerberos на сайте Active Directory, требуется установить следующие параметры.

Информацию для службы Kerberos Active Directory необходимо зарегистрировать как SRV-запись следующим образом:

Служба: «_kerberos»

Протокол: «_udp»

Номер порта: Номер порта, используемый службой Kerberos домена (зоны) Active Directory

Хост, предлагающий эту службу: Имя хоста контроллера домена, который фактически предоставляет службу Kerberos домена (зоны) Active Directory

Регистрация приложения в Microsoft Entra ID

Используйте следующую процедуру для регистрации приложения в Microsoft Entra ID.
Процесс регистрации может меняться при обновлениях службы. Более подробные сведения см. на веб-сайте Microsoft.

Войдите в Microsoft Entra ID.

В меню навигации нажмите [Microsoft Entra ID].

Зарегистрируйте приложение.

1	В меню навигации нажмите [Регистрация приложений] > [Новая регистрация].
2	Введите имя приложения. Можно ввести любое имя. Пример ввода: Canon <printer name> Login
3	Выберите тип учетной записи и нажмите [Зарегистрировать]. Генерируется ИД приложения (клиента). Запишите сгенерированный ИД.

Создайте секрет или зарегистрируйте сертификат.

Создание секрета

1	В меню навигации нажмите [Сертификаты и секреты].
2	Выберите команду [Новый секрет клиента].
3	В диалоговом окне [Добавить секрет клиента] введите описание и дату окончания срока действия и нажмите [Добавить]. Создаются ИД и значение секрета. Запишите созданное значение секрета. Вам не требуется ИД секрета *. Значение секрета отображается только один раз. Если не удалось записать значение, создайте новый клиентский секрет.

При регистрации сертификата

Сертификат аппарата следует экспортировать заранее. Сертификат можно экспортировать при настройке информации о Microsoft Entra ID. Указание информации о Microsoft Entra ID

1	В меню навигации нажмите [Сертификаты и секреты].
2	Выберите команду [Отправка сертификата].
3	Выберите файл и нажмите кнопку [Добавить]. После загрузки сертификата запишите значение метки.

В меню навигации нажмите [Разрешения API].

Выберите команду [Добавить разрешение].

В [Запрос разрешений API] выберите [Microsoft Graph].

В соответствии с типом разрешений выберите [Делегированные разрешения] и предоставьте разрешения.

Предоставьте следующие разрешения:

User.Read.All

Group.Read.All

GroupMember.Read.All

В соответствии с типом разрешений выберите [Разрешения приложения] и предоставьте разрешения.

Предоставьте следующие разрешения:

User.Read.All

User.ReadWrite.All (при регистрации IС-карты в аппарате или ее удалении с аппарата)

Group.Read.All

GroupMember.Read.All

*Используйте разрешения при применении аутентификации с помощью IС-карты или в случае, если не удается войти в аппарат из-за ошибки многофакторной аутентификации. Делать это необязательно (зависит от используемой функции и среды).

Нажмите [Предоставить подтверждение согласия администратора] и [Да].

Согласие администратора предоставляется выбранным разрешениям.

Регистрация сведений о пользователе на локальном устройстве

Настройка функций аутентификации

Использование аутентификации для личных пространств для управления функциями печати и удаленного сканирования с помощью компьютера