Функція керування
Відомості, зареєстровані в автентифікації користувача
Можна зареєструвати до 5001 користувача.
Реєстрація ідентифікаторів відділу
Можна зареєструвати до 1 000 ідентифікаторів відділів.
Функції автентифікації
Якщо сервером автентифікації вказано сервер Active Directory, потрібно використовувати наведене нижче системне середовище.
Програмне забезпечення (операційна система): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Якщо активовано Kerberos Armoring для політик KDCrelated (групові політики), користувачі не зможуть виконувати вхід за допомогою автентифікації Active Directory. Переконайтеся, що Kerberos Armoring вимкнено. | |
Нижче наведено методи шифрування Kerberos для автентифікації Active Directory, що підтримуються поточною версією автентифікації користувачів.
Метод шифрування | 128-бітний AES (поліпшений стандарт шифрування) 256-бітний AES (поліпшений стандарт шифрування) DES (стандарт шифрування даних) RC4 |
|
Доступні методи шифрування можуть відрізнятися залежно від параметрів Active Directory. Серед доступних методів шифрування автоматично вибирається той, що має найвищу криптографічну стійкість шифру. |
Якщо сервером автентифікації вказується сервер Active Directory, на ньому необхідно використовувати наведені нижче порти*1.
Для встановлення зв’язку з DNS-сервером: | номер порту 53 |
Для встановлення зв’язку з KDC (Key Distribution Center — Центр розподілу ключів): | номер порту 88 |
Для встановлення зв’язку із сервером для служби каталогів LDAP (може бути змінено на довільний номер порту для служби LDAP): | номер порту 389 |
*1 Наведені вище номери портів є значеннями за замовчуванням. Ці номери можуть відрізнятися залежно від вибраних параметрів. | |
Якщо сервером автентифікації вказується сервер LDAP, потрібно використовувати наведене нижче системне середовище.
Програмне забезпечення: | OpenLDAP |
Операційна система: | Вимоги є відповідними параметрам сервера LDAP. |
Якщо сервером автентифікації вказується сервер LDAP, на ньому необхідно використовувати нижче наведені порти*1.
Для підключення до сервера LDAP з використанням полегшеного протоколу доступу до каталогів (LDAP) (коли ввімкнено TLS): | номер порту 636 |
Для підключення до сервера LDAP з використанням полегшеного протоколу доступу до каталогів (LDAP) (коли вимкнено TLS): | номер порту 389 |
*1 Номери портів можна змінити відповідно до параметрів сервера LDAP. | |
Параметри брандмауера
Під час указання ІР-адрес у налаштуваннях брандмауера для мереж IPv4 та IPv6 можна вказати до 16 IP-адрес (або діапазонів IP-адрес).
Під час указання МАС-адрес у налаштуваннях брандмауера можна вказати до 100 МАС-адрес.
Адреси-винятки й номери портів-винятків, які можна використовувати для обміну даними за допомогою додаткової лінії і які зареєстровано за замовчуванням, вказано нижче.
Адреси-винятки: | від 0.0.0.1 до 255.255.255.255 |
Номери портів-винятків: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Тільки фільтр на вході | |
Реєстрація ключів і сертифікатів
Якщо ви встановлюєте з комп’ютера ключ або сертифікат центру сертифікації, переконайтеся, що вони відповідають таким вимогам:
Формат | Ключ: PKCS#12*1 Сертифікат центру сертифікації: X.509 DER/PEM |
Розширення файлу | Ключ: «.p12» або «.pfx» Сертифікат центру сертифікації: «.cer» або «.pem» |
Алгоритм для відкритого ключа (і довжина ключа) | RSA (512 бітів, 1 024 біти, 2 048 бітів, 4 096 бітів) DSA (1024 біти, 2048 бітів або 3072 біти)*3 ECDSA (P256, P384, P521) |
Алгоритм підпису сертифіката | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Алгоритм відбитка сертифіката | SHA-1 |
*1 Вимоги до сертифіката, що містяться в ключі, відповідають сертифікатам центру сертифікації. *2 SHA384-RSA і SHA512-RSA доступні тільки тоді, коли довжина ключа RSA становить 1 024 біти або більше. *3 Доступно, тільки якщо встановлено за допомогою інтерфейсу віддаленого користувача. | |
Реєстрація списків відкликаних сертифікатів (CRL)
Можна зареєструвати до 50 списків відкликаних сертифікатів (CRL). Зауважте, що CRL не вдасться зареєструвати у таких випадках.
Розмір даних CRL перевищує 1 МБ.
Використовується непідтримуваний алгоритм підпису.
Кількість відкликаних сертифікатів, зареєстрованих у одному файлі CRL, перевищує 10000.
Визначення «слабкого шифрування»
Якщо вибрано параметр [Prohibit Use of Weak Encryption], використання зазначених нижче алгоритмів заборонено.
Гешування: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Криптосистема із загальним ключем: | RC2, RC4, DES |
Криптосистема з відкритим ключем. | Шифрування за методом RSA (512 бітів/1024 біти), цифровий підпис за алгоритмом RSA (512 бітів/1024 біти), DSA (512 бітів/1024 біти), DH (512 бітів/1024 біти) |
|
Алгоритм гешування SHA-1, що застосовується для підпису кореневого сертифікату, можна використовувати, навіть якщо вибрано параметр [Prohibit Use of Key/Certificate with Weak Encryption]. |
Стандартний алгоритм FIPS 140-2
Коли вибрано параметр [Format Encryption Method to FIPS 140-2], використання зазначених нижче алгоритмів заборонено.
Гешування: | MD4, MD5, SHA-1 (для іншої цілі, крім TLS) |
Криптосистема із загальним ключем: | RC2, RC4, DES, PBE |
Криптосистема з відкритим ключем. | шифрування (512 бітів/1024 біти), цифровий підпис RSA (512 бітів/1024 біти), цифровий підпис DSA (512 бітів/1024 біти), DH (512 бітів/1024 біти) |
Керування журналами
На апараті можна здійснювати керування наведеними нижче типами журналів. Зібрані журнали можна експортувати у файловому форматі CSV.
Тип журналу | Номер, позначений як «Log Type» (тип журналу) у файлі CSV | Опис |
Журнал автентифікації користувача | 4098 | Цей журнал містить інформацію щодо стану автентифікації під час автентифікації користувача (вхід до системи/вихід із системи та вдала/невдала спроба автентифікації користувача), реєстрації/змінення/видалення інформації користувача, керованої за допомогою автентифікації користувачів. |
Журнал завдань | 1001 | Цей журнал містить інформацію щодо виконання завдань друку. |
Журнал отримання | 8193 | Цей журнал містить інформацію, пов’язану з прийомом. |
Журнал керування апаратом | 8198 | Цей журнал містить інформацію щодо запуску/вимкнення апарата та змін параметрів, які внесено через розділ <Устан.>. У журналі керування апаратом також записуються зміни інформації користувача або параметрів, пов’язаних із безпекою, які було внесено під час огляду або ремонту апарата вашим дилером або співробітником сервісного центру. |
Журнал автентифікації в мережі | 8200 | Запис у цей журнал відбувається в разі помилки з’єднання з IPSec. |
Журнал експорту/імпорту всієї інформації | 8202 | Цей журнал містить інформацію щодо експорту/імпорту параметрів з використанням функції «Імпортувати все»/«Експортувати все». |
Журнал виконання операцій на екрані керування програмами/програмним забезпеченням | 3101 | Це журнал операцій для реєстрації або оновлення програмного забезпечення й інсталяторів програм MEAP тощо. |
Журнал політики безпеки | 8204 | Цей журнал містить інформацію щодо стану параметрів політики безпеки. |
Журнал технічного обслуговування системи | 8206 | Цей журнал містить інформацію щодо оновлень мікропрограм і архівування або відновлення програми MEAP тощо. |
Журнал обліку завдань друку автентифікацій | 8207 | Цей журнал містить інформацію та історію операцій, пов’язаних із завданнями примусового друку збережених документів. |
Журнал для керування журналом аудиту | 3001 | Цей журнал містить інформацію щодо початку й закінчення роботи цієї функції (керування журналом аудиту), а також експортування журналів тощо. |
|
Журнал може зберігати до 40 000 записів. Якщо кількість записів перевищує 40 000, вони поступово видаляються, починаючи з найстаріших. |
Імпорт і експорт даних налаштування
Див. розділ Параметри/реєстрація.
Підтримка сервера SCEP
Підтримується лише служба реєстрації мережевих пристроїв (NDES) Windows Server 2008 R2/2012 R2/2016.