注册服务器信息
 | 要将动态目录/LDAP 服务器/Microsoft Entra ID 指定为额外的认证设备,必须注册用于认证的服务器的信息。必要时执行连接测试。 |
1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[用户管理] 
[认证管理]。
[认证管理]。4
单击[服务器设置] [编辑...]。
[编辑...]。5
设置认证服务器和域信息。
[使用Active Directory]使用Active Directory时选择此复选框。
[设置域列表:]选择是自动检索还是手动输入登录目标的Active Directory信息。要手动输入,选择[手动设置],然后在[Active Directory管理...]中添加登录目标的域。
[使用站点内访问模式]如果存在多个Active Directory服务器且想要指定优先访问位于与本机同一站点的Active Directory,请选择此复选框。必要时更改[站点检索信息定时:]和[站点访问范围:]的设置。
即便在 [站点访问范围:] 中设置 [仅设备所属站点],本机在启动过程中执行域控制器访问操作时也可能会访问其所属网站以外的网站。但通常会优先访问与机器属于同一网站的域控制器。在特殊情况下当无法访问同一网站内的域控制器但可以访问该网站以外的域控制器时,会优先访问该网站以外的域控制器。
[服务传票的缓存数:]指定本机可以保留的服务传票数量。服务传票是一项Active Directory功能,可以记录之前的登录情况,从而减少同一用户下次登录所花费的时间。
[使用LDAP服务器]使用LDAP服务器时选择此复选框。
[超时前的期间]指定尝试连接到认证服务器的时间限值和等待响应的时间限值。当 [保存登录用户的认证信息]已启用时,如果不能在此处指定的时间限制内登录,将尝试使用缓存中保存的认证信息进行登录。
[登录目标的默认域:]指定优先连接的域。
手动指定动态目录域
1 | 选择[使用Active Directory]复选框,然后将[设置域列表:]选择为[手动设置]。 |
2 | 单击[Active Directory管理...] [确定]。 |
3 | 单击[添加域...]。 |
4 | 输入必要的信息。  [域名:]输入登录目标的Active Directory的域名(示例:company.domain.com)。 [NetBIOS名称]输入NetBIOS域名(示例:company)。 [主要主机名或IP地址:] / [辅助主机名或IP地址:]输入Active Directory服务器的主机名或IPv4地址。使用辅助服务器时,在[辅助主机名或IP地址:]中指定名称。 示例: 使用主机名:ad-server1 使用IPv4地址:192.168.18.138 [用户名:] / [密码:]输入用于访问和检索Active Directory服务器的用户名和密码。 [检索开始位置:]以指定执行Active Directory服务器认证时访问和搜索用户信息的位置(等级)。 [登录名称:] / [显示名称] / [电子邮件地址]为Active Directory服务器上每个用户帐户的登录名称、显示名称和电子邮件地址指定数据字段(属性名称)(示例:sAMAccountName、cn、mail)。 |
5 | 单击[连接测试]确认可以连接,然后单击[添加]。  编辑服务器信息 对于要编辑的服务器信息,单击[编辑],进行必要的更改后单击[更新]。 |
注册 LDAP 服务器信息
1 | 选择[使用LDAP服务器]复选框,然后单击[LDAP服务器管理...] [确定]。 |
2 | 单击[添加服务器...]。 |
3 | 输入LDAP服务器信息。  [服务器名]输入LDAP服务器的名称。无法使用名称“localhost”。服务器名称不可以包含空格。 [主地址]输入LDAP服务器的IP地址或主机名(示例:ldap.example.com)。无法使用环回地址(127.0.0.1)。 [端口:]输入用于与LDAP服务器通信的端口号。使用与服务器上配置相同的设置。如果不输入编号,选择[使用TLS]复选框时会自动设为“636”,清除复选框时会自动设为“389”。 [辅地址:] / [端口:]在环境中使用辅助服务器时,输入IP地址和端口号。 [注释]必要时输入描述或说明。 [使用TLS]与LDAP服务器的通信使用TLS加密时选择此复选框。 [使用认证信息]仅在LDAP服务器设为允许匿名访问时,清除此复选框才可以匿名访问LDAP服务器。使用用户名和密码进行认证时,选择此复选框并输入[用户名:]和[密码:]的值。  [检索开始位置:]指定执行LDAP服务器认证时检索用户信息的位置(等级)。 |
4 | 指定如何设置属性名称和域名。  [用户名(键盘认证):]为LDAP服务器上的用户名指定LDAP数据字段(属性名称)(示例:uid)。 [登录名称:] / [显示名称] / [电子邮件地址]为LDAP服务器上每个用户帐户的登录名称、显示名称和电子邮件地址指定LDAP数据字段(属性名称)(示例:uid、cn、mail)。 [指定域名] / [指定域名获取的属性名称]选择如何设置登录目标的域名。要直接指定域名,请选择[指定域名],然后输入域名。要指定从中获取LDAP服务器上域名的LDAP数据字段(属性名称),请选择[指定域名获取的属性名称],然后输入属性名称(示例:dc)。 |
5 | 单击[连接测试]确认可以连接,然后单击[添加]。 |
编辑服务器信息
对于要编辑的服务器信息,单击[编辑],进行必要的更改后单击[更新]。
指定 Microsoft Entra ID 信息
如果使用 Microsoft Entra ID 作为认证服务器,则使用 Microsoft Entra ID 注册应用程序。
1 | 选中 [使用Microsoft Entra ID] 复选框。 |
2 | 单击[域设置]。 显示[Microsoft Entra ID域设置]屏幕。 |
3 | 指定 Microsoft Entra ID 信息。  [登录目标名称]输入要在登录目标显示的名称。 * 无法控制字符或空格。 [域名]输入作为登录目标的 Microsoft Entra ID 的域名。 [应用程序ID]输入应用程序(客户端)ID。 [密钥]输入 Microsoft Entra ID 生成的密钥。使用 [密钥和证书] 时不需要输入此项。 [密钥和证书]使用密钥和证书时,请按 [密钥和证书]。 可以按 [导出证书] 导出要注册到 Microsoft Entra ID 的证书。 [Microsoft Entra ID认证URL] 和 [Microsoft Entra ID API URL]输入 URL。根据使用的云环境,可能需要更改设置。 |
4 | 指定属性。  [为登录帐户设置的属性] 输入服务器上每个用户帐户的登录名、显示名称和电子邮件地址的属性。 [登录名称] 从下拉菜单中,选择服务器上每个用户帐户的登录名的属性。 * 要指定下拉菜单中未显示的属性,可以直接输入。 [WindowsLogonName]: displayName 是从 Microsoft Entra ID 获取的。displayName 按如下方式更改以创建登录名: 从 displayName 中删除空格和以下字符:* + , . / : ; < > = ? \ [ ] |。 "@" 和任何后续字符都将被删除。 超过 20 个字符的字符串将缩短至 20 个字符或更少。 示例: 当 displayName 是 "user.001@example.com",登录名称变成 "user001"。 [displayName]: 从 Microsoft Entra ID 获取的 displayName 成为登录名称。 [userPrincipalName]: 从 Microsoft Entra ID 获取的 userPrincipalName 成为登录名称。 [userPrincipalName-Prefix]: 从 Microsoft Entra ID 获取的 userPrincipalName 中 "@" 之前的部分成为登录名称。 示例: 当 userPrincipalName 是 "user.002@mail.test",登录名称变成 "user.002"。 [显示名称] 和 [电子邮件地址] 输入服务器上每个用户帐户的显示名称和电子邮件地址的属性。 |
5 | 在 [为登录帐户设置的域名] 下的 [域名] 中指定登录目标的域名。 |
6 | 在 [自动完成的域名] 下的 [使用键盘认证时自动完成输入用户名] 中指定设置。 输入要执行自动完成的域的名称。一般情况下,设置与 [域名] 中输入的名称相同的名称。 |
7 | 单击 [连接测试] 测试连接。 |
8 | 单击[更新]。 屏幕返回到 [编辑服务器设置] 屏幕。 |
6
输入用户信息并设置权限。
[保存登录用户的认证信息]选择此复选框可以保存通过操作面板登录的用户认证信息。选择[使用键盘认证时保存用户信息]复选框可以将使用键盘认证登录的用户信息保存到缓存。配置这些设置后,即使本机无法连接到服务器,也可使用保存的认证信息进行登录。必要时更改[保持期:] 设置。
[用户属性浏览:]在用于确定用户权限(角色)的引用服务器上,输入数据字段(属性名称)。通常,可以使用预设值“memberOf”表示用户所属的组。
[从[用户属性浏览]检索角色名称以应用]选择此复选框为角色名称使用[用户属性浏览:]中指定的服务器上的数据字段中注册的字符串。配置前,检查本机上可选择的角色名称并在服务器上进行注册。
[条件]可以设置确定用户权限的条件。以下条件按所列顺序进行应用。
[检索条件] | 选择[字符串]的检索标准。 |
[字符串] | 输入在[用户属性浏览:]中指定的属性中注册的字符串。要基于用户所属的组设置权限,请输入组名称。 |
[角色] | 选择应用于符合标准的用户的权限。 |
使用Active Directory服务器时的[条件]设置
“Canon Peripheral Admins”已预先设置为“管理员”用户组。向服务器上创建的其他组指定不同的权限。
7
单击[更新]。
8
重新启动本机。 重新启动本机
在 Microsoft Entra ID 中注册应用程序
使用以下步骤在 Microsoft Entra ID 中注册应用程序。
注册过程可能会随着服务更新而变化。有关详细信息,请参阅 Microsoft 网站。
注册过程可能会随着服务更新而变化。有关详细信息,请参阅 Microsoft 网站。
1
登录 Microsoft Entra ID。
2
在导航菜单中,单击 [Microsoft Entra ID]。
3
注册应用程序。
1 | 在导航菜单中,单击 [应用注册] [注册新流]。 |
2 | 输入应用程序的名称。 可以输入任何名称。 输入示例: Canon <打印机名称> Login |
3 | 选择帐户类型,然后单击 [注册]。 生成应用程序(客户端)ID。 记下生成的 ID。 |
4
创建密钥或注册证书。
创建密钥时
1 | 在导航菜单中,单击 [证书和密码]。 |
2 | 单击[新客户端密码]。 |
3 | 在 [添加客户端密码] 对话框中,输入描述和到期日期,然后单击 [添加]。 随即创建密钥 ID 和值。 记下创建的密钥值。不需要密钥 Id。 *密钥值仅显示一次。如果无法记下该值,则创建一个新的客户端密钥。 |
注册证书时
机器证书需要提前导出。可以在配置 Microsoft Entra ID 信息时导出该证书。指定 Microsoft Entra ID 信息
1 | 在导航菜单中,单击 [证书和密码]。 |
2 | 单击[上传证书]。 |
3 | 选择文件,然后单击 [添加]。 上传证书后,记下 [Thumbprint] 值 |
5
在导航菜单中,单击 [API 权限]。
6
单击[添加权限]。
7
在 [请求获取 API 权限] 下,选择 [Microsoft Graph]。
8
在权限类型下,选择 [委托的权限],然后授予权限。
授予以下权限:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
在权限类型下,选择 [应用程序权限],然后授予权限。
授予以下权限:
User.Read.All
User.ReadWrite.All(将 IC 卡注册到本机或从本机删除 IC 卡时)
Group.Read.All
GroupMember.Read.All
* 使用 IC 卡验证或由于多重验证错误而无法登录机器时,请使用权限。根据使用的功能和环境,这不是必需的。
10
单击[授予管理员同意确认。],然后单击[是]。
管理员同意已授予所选权限。