Регистриране на информация за сървъра
|
За да зададете Active Directory/LDAP Server/Microsoft Entra ID като допълнително устройство за удостоверяване, трябва да регистрирате информацията за сървъра, използван за удостоверяване. Проведете тест на връзката, ако е необходимо.
|
1
Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление). Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration] в страницата на портала. Екран на Remote UI (Потребителски интерфейс за отдалечено управление)
3
Щракнете върху [User Management] 
[Authentication Management].
[Authentication Management].4
Щракнете върху [Server Settings] [Edit...].
[Edit...].5
Задайте информацията за сървър за удостоверяване и домейн.
[Use Active Directory]
Изберете квадратчето за отметка при използване на Active Directory.
[Set Domain List]
Изберете дали информацията от Active Directory за дестинация на вписване да се извлича автоматично, или да се въвежда ръчно. За ръчно въвеждане изберете [Set Manually] и добавете домейн на дестинация на вписване в [Active Directory Management...].
[Use access mode within sites]
Изберете квадратчето за отметка, ако има няколко сървъра Active Directory и искате да зададете приоритет за достъп до Active Directory, който се намира на същото място като машината. Променете настройките за [Timing of Site Information Retrieval] и [Site Access Range] според нужното.
Дори и когато [Only site to which device belongs] в [Site Access Range] е зададено, машината може да получава достъп до места, различни от това, към което принадлежи, когато се извършва достъп до контролера на домейна при процеса на стартиране. Обаче има приоритет достъпът до контролерите на домейна на мястото, в което е машината. Като изключение от това важи, че ако контролерите на домейна в същото място не могат да се достигнат, но контролери на друго място могат, приоритет се дава за достъп до контролерите на домейна извън мястото.
[Number of Caches for Service Ticket]
Посочете брой удостоверения за достъп, които машината може да задържи. Удостоверението за достъп е функция на Active Directory, която действа като запис на предишно вписване, което намалява времето, нужно на същия потребител да се впише следващия път.
[Use LDAP server]
Изберете квадратчето за отметка при използване на LDAP сървър.
[Use Microsoft Entra ID]
Поставете отметка в това квадратче, за да използвате Microsoft Entra ID.
[Period Until Timeout]
Посочете времеви лимит за опит за свързване към сървъра за удостоверяване и лимита за време за изчакване на отговор. Когато е активирано [Save authentication information for login users], ако не можете да се впишете в рамките на посочения тук период, се опитва вписване с използване на информацията за удостоверяване, запаметена в кеша.
[Default Domain of Login Destination]
Посочете домейна, който има приоритет за свързване.
Ръчно посочване на домейн на Active Directory
|
1
|
Поставете отметка в квадратчето за [Use Active Directory] и изберете [Set Manually] за [Set Domain List].
|
|
2
|
Щракнете върху [Active Directory Management...]
[OK]. |
|
3
|
Щракнете върху [Add Domain...].
|
|
4
|
Въведете необходимата информация.
[Domain Name]
Въведете името на домейна на Active Directory, който е дестинацията на вписване (Пример: company.domain.com).
[NetBIOS Name]
Въведете NetBIOS име на домейн (Пример: компания).
[Primary Host Name or IP Address] / [Secondary Host Name or IP Address]
Въведете име на хост на сървъра на Active Directory или IPv4 адреса. Когато използвате вторичен сървър, посочете името в [Secondary Host Name or IP Address].
Пример:
Използване на име на хост: ad-server1 Използване на IPv4 адрес: 192.168.18.138 [User Name] / [Password]
Въведете потребителското име и парола за използване при достъп до и търсене на Active Directory сървър.
[Starting Point for Search]
Посочете мястото (нивото) за достъп и търсене на информация за потребителя по време на удостоверяването на сървър на Active Directory.
[Login Name] / [Displayed As] / [E-Mail Address]
Посочете полетата с данни (имена на атрибути) за името на вписване, името на дисплея и имейл адреса на всеки потребителски акаунт на сървъра на Аctive Directory (Пример: sAMAccountName, cn, mail).
|
|
5
|
Щракнете върху [Test Connection] за потвърждаване, че връзката е възможна, и след това щракнете върху [Add].
За редактиране на информация за сървъра
Щракнете върху [Edit...] за информацията за сървъра, която искате да редактирате, извършете необходимите промени и щракнете върху [Update].
|
Регистриране на информация за LDAP сървър
|
1
|
Поставете отметка в квадратчето за [Use LDAP server] и щракнете върху [LDAP Server Management...]
[OK]. |
|
2
|
Щракнете върху [Add Server...].
|
|
3
|
Въведете информация за LDAP сървъра.
[Server Name]
Въведете името на LDAP сървъра. Името „localhost“ не може да се използва. Името на сървъра не може да включва интервали.
[Primary Address]
Въведете IP адреса или името на хоста на LDAP сървъра (Пример: ldap.example.com). Адресът за обратна връзка (127.0.0.1) не може да се използва.
[Port]
Въведете номера на порта, който се използва за комуникация с LDAP сървъра. Използвайте същата настройка, която е конфигурирана на сървъра. Ако не въведете число, автоматично се задава „636“ при поставена отметка в квадратчето за [Use TLS] или „389“ при махната отметка от квадратчето.
[Secondary Address] / [Port]
Когато използвате вторичен сървър във вашата среда, въведете IP адреса и номера на порта.
[Comments]
Въведете описание или бележка според нужното.
[Use TLS]
Поставете отметка в квадратчето, за да използвате TLS за шифроване на комуникациите с LDAP сървъра.
[Use authentication information]
Махнете отметката от квадратчето, за да позволите анонимен достъп до LDAP сървъра само ако LDAP сървърът е зададен да разрешава анонимен достъп. Когато използвате потребителско име и парола за удостоверяване, изберете квадратчето за отметка и въведете стойностите за [User Name] и [Password].
[Starting Point for Search]
Посочете местоположението (нивото) за търсене на потребителска информация при извършване на удостоверяване чрез LDAP сървър.
|
|
4
|
Посочете как да се зададат имената на атрибутите и името на домейна.
[User Name (Keyboard Authentication)]
Посочете поле с данни за LDAP (име на атрибут) за потребителското име на LDAP сървъра (Пример: uid).
[Login Name] / [Display Name] / [E-Mail Address]
Посочете полетата с данни на LDAP (имена на атрибути) за името за вписване, името за екрана и имейл адреса на всеки потребителски акаунт на LDAP сървъра (Пример: uid, cn, mail).
[Specify the domain name] / [Specify the attribute name for domain name acquisition]
Изберете как да настроите името на домейна на дестинацията за вписване. За посочване на името на домейна директно, изберете [Specify the domain name] и въведете името на домейна. За посочване на поле с данни на LDAP (име на атрибут), от което да се получи името на домейна на LDAP сървъра, изберете [Specify the attribute name for domain name acquisition] и въведете името на атрибута (Пример: dc).
|
|
5
|
Щракнете върху [Test Connection] за потвърждаване, че връзката е възможна, и след това щракнете върху [Add].
|
За редактиране на информация за сървъра
Щракнете върху [Edit...] за информацията за сървъра, която искате да редактирате, извършете необходимите промени и щракнете върху [Update].
Задаване на информацията за Microsoft Entra ID
Ако използвате Microsoft Entra ID като сървър за удостоверяване, регистрирайте приложението с Microsoft Entra ID.
|
1
|
Поставете отметка в полето [Use Microsoft Entra ID].
|
|
2
|
Щракнете върху [Domain Settings...].
Извежда се екранът [Microsoft Entra ID Domain Settings].
|
|
3
|
Задайте информацията за Microsoft Entra ID.
[Login Destination Name]
Въведете името, което ще се показва в дестинацията на вписване.
* Не можете да използвате контролни символи или интервали.
[Domain Name]
Въведете името на домейна на Microsoft Entra ID, който е дестинацията на вписване.
[Application ID]
Въведете ИД на приложението (клиента).
[Secret]
Въведете тайната, генерирана от Microsoft Entra ID. Не е необходимо да я въвеждате, когато се използва [Key and Certificate].
[Key and Certificate]
Натиснете [Key and Certificate], когато използвате ключ и сертификат. Можете да натиснете [Export Certificate...], за да експортирате сертификата, който да бъде регистриран в Microsoft Entra ID. Въведете тайната, издадена от Microsoft Entra ID. Не е необходимо да въвеждате тайна, ако използвате [Key and Certificate].
[Microsoft Entra ID Authentication URL] и [Microsoft Entra ID API URL]
Въведете URL адресите. В зависимост от средата в облака може да се наложи да промените настройките.
|
|
4
|
Задайте атрибутите.
Въведете атрибутите за потребителското име, показваното име и имейл адреса на всеки потребителски акаунт на сървъра.
[Login Name]
От падащото меню изберете атрибута за името за вход на всеки потребителски акаунт в сървъра.
* За да посочите атрибут, който не е показан в падащото меню, можете да го въведете директно.
[WindowsLogonName]:
displayName се получава от Microsoft Entra ID. displayName се променя, както следва, за да се създаде името за влизане:
Интервалите и следните символи се изтриват от displayName: * + , . / : ; < > = ? \ [ ] |.
„@“ и всички следващи символи се изтриват.
Редовете от символи, надвишаващи 20 символа, се съкращават до 20 символа или по-малко.
Пример:
Когато displayName е „user.001@example.com,“ името за влизане става „user001“. [Показв. име]:
displayName, получено от Microsoft Entra ID, става име за влизане.
[userPrincipalName]:
userPrincipalName, получено от Microsoft Entra ID, става име за влизане.
[userPrincipalName-Prefix]:
Частта преди „@“ в userPrincipalName, получена от Microsoft Entra ID, става име за влизане.
Пример:
Когато userPrincipalName е „user.002@mail.test“, името за влизане става „user.002“. [Display Name] / [E-Mail Address]
Въведете атрибутите за показваното име и имейл адреса на всеки потребителски акаунт на сървъра.
|
|
5
|
Посочете името на домейна на дестинацията за влизане в [Domain Name] under [Domain Name to Set for Login Account].
|
|
6
|
Задайте настройките [Autocomplete for Entering User Name When Using Keyboard Authentication] под
[Domain Name to Autocomplete]. Въведете името на домейна, за който да се извърши автоматично попълване. Обикновено се задава същото име, което е въведено в [Domain Name].
|
|
7
|
Щракнете върху [Test Connection], за да тествате връзката.
|
|
8
|
Щракнете върху [Update].
Дисплеят се връща към екрана [Edit Server Settings].
|
6
Въведете потребителската информация и задайте привилегиите.
[Save authentication information for login users]
Изберете квадратчето за отметка за запазване на информацията за удостоверяване на потребителите, които се вписват през контролния панел. Изберете квадратчето за отметка [Save user information when using keyboard authentication], за да запазите в кеша информацията за потребителите, които се вписват с удостоверяване с клавиатура. След като настройките се конфигурират, запаметената информация за удостоверяването може да се използва за вписване, дори и ако машината не може да се свърже със сървъра. Променете настройката [Retention Period], ако е необходимо.
[User Attribute to Browse]
Влезте в полето с данни (име на атрибут) в посочения сървър, който се използва за определяне на потребителски привилегии (роли). Обикновено можете да използвате предварително зададената стойност на „memberOf“, която указва групата, към която потребителят спада.
[Retrieve role name to apply from [User Attribute to Browse]]
Поставете отметка в квадратчето, за да използвате регистрирания низ от символи в полето с данни на сървъра, посочен в [User Attribute to Browse] за името на ролята. Преди конфигуриране проверете имената на роли, които могат да се изберат върху машината, и ги регистрирайте на сървъра.
[Conditions]
Можете да зададете условията, които определят потребителските привилегии. Условията по-долу се прилагат по реда, в който са изброени.
|
[Search Criteria]
|
Изберете критериите за търсене за [Character String].
|
|
[Character String]
|
Въведете низа от символи, който е регистриран към посочения в [User Attribute to Browse] атрибут. За задаване на привилегиите, базирани на групата, към която спада потребителят, въведете името на групата.
|
|
[Role]
|
Изберете привилегиите, които се прилагат към потребителите, които отговарят на критериите.
|
Настройките [Conditions] при използване на Active Directory сървъри
„Canon Peripheral Admins“ се задава предварително като потребителска група за администратори. Задайте различни привилегии към другите групи, създадени на сървъра.
7
Щракнете върху [Update].
8
Рестартирайте машината. Рестартиране на машината
Регистриране на приложение в Microsoft Entra ID
Използвайте следната процедура, за да регистрирате приложение в Microsoft Entra ID.
Процесът на регистрация може да се промени при актуализиране на услугата. За повече информация вижте уеб сайта на Microsoft.
Процесът на регистрация може да се промени при актуализиране на услугата. За повече информация вижте уеб сайта на Microsoft.
1
Влезте в Microsoft Entra ID.
2
В менюто за навигация щракнете върху [Microsoft Entra ID].
3
Регистрирайте приложението.
|
1
|
В менюто за навигация щракнете върху [App registrations]
[New registration]. |
|
2
|
Въведете името на приложението.
Можете да въведете всякакво име.
Пример за въвеждане:
Canon <име на принтера> Влизане |
|
3
|
Изберете типа акаунт и щракнете върху [Register].
Генерира се ИД на приложението (клиента).
Запишете генерирания ИД. |
4
Създайте тайна или регистрирайте сертификат.
Когато създавате тайна
|
1
|
В менюто за навигация щракнете върху [Certificates & secrets].
|
|
2
|
Щракнете върху [Client secrets]
[New client secret]. |
|
3
|
В диалоговия прозорец [Add a client secret] въведете описанието и датата на валидност и щракнете върху [Add].
Създават се секретен ИД и стойност.
Запишете създадената секретна стойност. Не се нуждаете от секретния ИД. * Секретната стойност се показва само веднъж. Ако не можете да запишете стойността, създайте нова клиентска тайна. |
При регистриране на сертификат
Сертификатът на машината трябва да бъде експортиран предварително. Можете да експортирате сертификата, когато конфигурирате информацията за Microsoft Entra ID. Задаване на информацията за Microsoft Entra ID
|
1
|
В менюто за навигация щракнете върху [Certificates & secrets].
|
|
2
|
Щракнете върху [Certificates]
[Upload certificate]. |
|
3
|
Изберете файла и щракнете върху [Add].
След като сертификатът бъде качен, запишете стойността на [Thumbprint].
|
5
В менюто за навигация щракнете върху [API permissions].
6
Щракнете върху [Add a permissions].
7
Под [Request API permissions] изберете [Microsoft Graph].
8
Под вида разрешения изберете [Delegated permissions] и дайте разрешенията.
Дайте следните разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Под вида разрешения изберете [Application permissions] и дайте разрешенията.
Дайте следните разрешения:
User.Read.All
Group.Read.All
GroupMember.Read.All
* Използвайте разрешенията, когато не можете да влезете в машината поради грешка в многофакторното удостоверяване. Това не е необходимо в зависимост от използваната функция и среда.
10
Щракнете върху [Grant admin consent confirmation] и щракнете върху [Yes].
Предоставя се съгласие на администратора за избраните разрешения.