Функции управления
Информация, зарегистрированная в функции аутентификации пользователей
Можно зарегистрировать до 5 001 пользователей.
Регистрация ИД отделов
Можно зарегистрировать до 1 000 идентификаторов отделов.
Функции аутентификации
Если в качестве сервера аутентификации указан сервер Active Directory, требуется одна из следующих операционных систем.
Программное обеспечение (операционная система): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Если для политик, относящихся к KDC (групповые политики), установлена защита Kerberos, пользователи не могут входить в систему с использованием аутентификации Active Directory. Обязательно отключите защиту Kerberos. | |
Следующие способы шифрования Kerberos для аутентификации Active Directory поддерживаются текущей версией аутентификации пользователей.
Способ шифрования | AES (128 бит) AES (256 бит) DES (стандарт шифрования данных) RC4 |
|
Доступные способы шифрования могут отличаться в зависимости от настроек Active Directory. Из доступных способов шифрования автоматически выбирается способ с наибольшей криптостойкостью шифра. |
При указании сервера Active Directory в качестве сервера аутентификации используйте следующие порты*1 на сервере.
Для связи с DNS-сервером: | порт номер 53 |
Для связи с KDC (Key Distribution Center — центр распространения ключей): | порт номер 88 |
Для связи с сервером для службы каталогов LDAP (для службы LDAP можно установить произвольный номер порта): | порт номер 389 |
*1 Указанные выше номера портов — это значения по умолчанию. Эти номера зависят от выбранных параметров. | |
При указании сервера LDAP в качестве сервера аутентификации требуется одна из следующих операционных систем.
Программное обеспечение: | OpenLDAP |
Операционная система: | Требования соответствуют техническим характеристикам сервера LDAP. |
При указании сервера LDAP в качестве сервера аутентификации используйте следующие порты*1 на сервере.
Для связи с сервером LDAP с использованием LDAP (протокол TLS включен): | порт номер 636 |
Для связи с сервером LDAP с использованием LDAP (протокол TLS отключен): | порт номер 389 |
*1 Номера портов могут быть изменены в соответствии с параметрами сервера LDAP. | |
Параметры брандмауэра
При указании IP-адресов в параметрах брандмауэра для протоколов IPv4 и IPv6 можно указать до 16 IP-адресов (или диапазонов IP-адресов).
При указании MAC-адресов в параметрах брандмауэра можно указать до 100 MAC-адресов.
Адреса исключений и номера портов исключений, которые можно использовать для связи с использованием дополнительной линии и которые зарегистрированы по умолчанию, указаны ниже.
Адреса исключений: | 0.0.0.1 – 255.255.255.255 |
Номера портов исключений: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Только фильтр входящего трафика | |
Регистрация ключей и сертификатов
При установке ключа или сертификата СА с компьютера убедитесь, что они соответствуют следующим требованиям:
Формат | Ключ: PKCS#12*1 Сертификат CA: X.509 DER/PEM |
Расширение файла | Клавиша: «.p12» или «.pfx» Сертификат СА: «.cer» или «.pem» |
Алгоритм с общедоступным ключом (и длина ключа) | RSA (512 бит, 1024 бит, 2048 бит, 4096 бит) DSA (1024 бит, 2048 бит, 3072 бит)*3 ECDSA (P256, P384, P521) |
Алгоритм подписи сертификата | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Алгоритм отпечатка сертификата | SHA-1 |
*1 Требования к сертификату, содержащемуся в ключе, соответствуют сертификатам CA. *2 SHA384-RSA и SHA512-RSA доступны только в том случае, если длина ключа RSA составляет 1024 бит или более. *3 Доступно только при установке с использованием Удаленного ИП. | |
Регистрация списков отзыва сертификатов (CRL)
Можно зарегистрировать до 50 списков отзыва сертификатов (CRL). Однако следует отметить, что в следующих случаях регистрация списков отзыва сертификатов невозможна:
объем данных списка отзыва сертификатов превышает 1 Мб;
используется неподдерживаемый алгоритм подписи;
Число отозванных сертификатов, зарегистрированных в одном файле CRL, превышает 10000.
Определение «слабого шифрования»
Если выбрано [Запретить использов. слабого кодирования], запрещено использовать следующие алгоритмы.
Хэш: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Одноключевая криптосистема: | RC2, RC4, DES |
Криптосистема с открытым ключом: | шифрование RSA (512 бит/1024 бит), подпись RSA (512 бит/1024 бит), DSA (512 бит/1024 бит), DH (512 бит/1024 бит) |
|
Даже если выбрано [Запретить исп. ключ/сертиф. со слабым кодир.], нельзя использовать хэш-алгоритм SHA-1, применяемый для подписывания корневого сертификата. |
Стандартный алгоритм FIPS 140-2
Если выбрано [Форм. метод кодирования в FIPS 140-2], запрещено использовать следующие алгоритмы.
Хэш: | MD4, MD5, SHA-1 (для целей, отличных от TLS) |
Одноключевая криптосистема: | RC2, RC4, DES, PBE |
Криптосистема с открытым ключом: | шифрование RSA (512 бит/1024 бит), подпись RSA (512 бит/1024 бит), подпись DSA (512 бит/1024 бит), DH (512 бит/1024 бит) |
Управление журналами
На аппарате можно управлять следующими типами журналов. Сохраненные журналы можно экспортировать в файл формата CSV.
Тип журнала | Номер, обозначающий «Тип журнала» в файле CSV | Описание |
Журнал аутентификации пользователей | 4098 | Этот журнал содержит сведения, касающиеся состояния аутентификации пользователей (вход в систему или выход из системы и успех/сбой аутентификации пользователей), регистрации, изменения, удаления сведений о пользователях, управляемых с помощью аутентификации пользователей. |
Журнал заданий | 1001 | Этот журнал содержит сведения, касающиеся завершения заданий на печать. |
Журнал приема | 8193 | Этот журнал содержит сведения, касающиеся приема. |
Журнал управления аппаратом | 8198 | Этот журнал содержит сведения, касающиеся запуска/завершения работы аппарата и изменений параметров в разделе <З-ть>. В журнале управления аппаратом также регистрируются изменения сведений о пользователе или параметров, связанных с безопасностью, когда аппарат находится на диагностике или в ремонте у дилера или в сервисном центре. |
Журнал аутентификации сети | 8200 | В этот журнал записываются сведения при сбое связи по протоколу IPSec. |
Журнал функции «Экспортировать/импортировать все» | 8202 | Этот журнал содержит сведения, касающиеся импорта/экспорта параметров с помощью функции «Импортировать/экспортировать все». |
Журнал операций на экране управления приложениями/программным обеспечением | 3101 | Это журнал операций для регистрации/обновления программного обеспечения, установщиков приложений MEAP т. д. |
Журнал политики безопасности | 8204 | Этот журнал содержит сведения, касающиеся состояний параметров политики безопасности. |
Журнал обслуживания системы | 8206 | Этот журнал содержит сведения, касающиеся обновлений встроенного ПО, резервного копирования/восстановления приложений MEAP и т. д. |
Журнал печати с проверкой подлинности | 8207 | Этот журнал содержит сведения, касающиеся истории операций с принудительно отложенными заданиями на печать. |
Журнал для управления журналами аудита | 3001 | Этот журнал содержит информацию, относящуюся к включению или отключению этой функции (управление журналами аудита), а также к экспорту журналов и т. д. |
|
Журнал может содержать до 40 000 записей. Если количество записей превышает 40 000, они удаляются, начиная с самых старых. |
Импорт/экспорт параметров
Дополнительные сведения см. в разделе «Настройки/Регистрация».
Поддержка сервера SCEP
Поддерживается только служба регистрации сертификатов для сетевых устройств (Network Device Enrollment Service, NDES) Windows Server 2008 R2/2012 R2/2016.