注册认证服务器信息

使用 Active Directory、LDAP 服务器或 Microsoft Entra ID 作为外部认证服务器时，请注册要使用的服务器信息。

从计算机使用远程用户界面注册服务器信息。无法使用控制面板注册信息。
需要管理员权限。必须重新启动机器才能应用注册的信息。

需要进行的准备

您必须配置使用 Active Directory、LDAP 服务器或 Microsoft Entra ID 所需的设置，如 DNS 设置以及日期和时间设置。

配置 DNS

设置日期和时间

准备访问 Active Directory、LDAP 服务器或要使用的 Microsoft Entra ID 的凭证。

以管理员身份登录远程用户界面。启动远程用户界面

在远程用户界面的门户页面上，单击 [设置/注册]。远程用户界面门户页面

单击 [用户管理]

[认证管理]

[服务器设置]

[编辑]。

随即显示 [编辑服务器设置] 屏幕。

在 [认证服务器] 中配置激活目录、LDAP 服务器或 Microsoft Entra ID 信息。

自动获取激活目录信息时

选中 [使用Active Directory] 复选框。

在 [设置域列表] 中选择[自动检索]。

指定访问激活目录的方法和缓存数量。

[使用站点内访问模式]

当使用多个 Active Directory 服务器时，选择此复选框可将访问优先权分配给机器所属站点内的 Active Directory。
根据需要更改 [站点检索信息定时] 和 [站点访问范围] 的设置。

* 即使指定了 [站点访问范围] 中的 [仅设备所属站点]，机器在启动过程中执行域控制器访问时也可能会访问其所属站点以外的站点。在这种情况下，通常会优先访问同一站点内的域控制器。

但是，如果无法访问同一站点内的域控制器，但可以访问站点外的域控制器，则优先访问站点外的域控制器。

[服务传票的缓存数]

指定本机可以保留的服务传票数量。
服务传票是一项 Active Directory 功能，可以记录之前的登录情况，从而减少同一用户下次登录所花费的时间。

手动指定激活目录信息

选中 [使用Active Directory] 复选框。

在 [设置域列表] 中选择[手动设置]。

单击 [Active Directory管理]

[确定]。

随即显示 [Active Directory管理] 屏幕。

单击 [添加域]。

随即显示 [添加域] 屏幕。

指定激活目录信息。

[域名]

输入登录目标的 Active Directory 的域名。

输入示例：
company.domain.com

[NetBIOS名称]

输入 NetBIOS 域名。

[主要主机名或IP地址] / [辅助主机名或IP地址]

输入 Active Directory 服务器的主机名或 IP 地址。

* 要使用辅助服务器，请在 [辅助主机名或IP地址] 中指定服务器。

[用户名] 和 [密码]

输入用于访问 Active Directory 服务器和搜索用户信息的用户名和密码。

[检索开始位置]

指定执行 Active Directory 服务器认证时搜索用户信息的位置（级别）。如果不指定搜索起始位置，将搜索服务器上注册的所有用户信息。

指定属性。

[为登录帐户设置的属性]

输入服务器上每个用户帐户的登录名称、显示名称和电子邮件地址的属性。

单击 [连接测试] 测试连接。

单击 [添加]。

添加服务器信息后，再次显示 [Active Directory管理] 屏幕。

单击 [上一步]。

再次显示 [编辑服务器设置] 屏幕。

在 [服务传票的缓存数] 中指定缓存数。

指定本机可以保留的服务传票数量。
服务传票是一项 Active Directory 功能，可以记录之前的登录情况，从而减少同一用户下次登录所花费的时间。

指定 LDAP 服务器信息

选中 [使用LDAP服务器] 复选框。

单击 [LDAP服务器管理]

[确定]。

随即显示 [LDAP服务器管理] 屏幕。

单击 [添加服务器]。

随即显示 [添加LDAP服务器] 屏幕。

指定 LDAP 服务器信息。

[服务器名]

输入用于识别 LDAP 服务器的名称。

* 不要使用"localhost"名称。服务器名称中不要包含空格。

[主地址] 和 [辅地址]

输入 LDAP 服务器的 IP 地址或主机名。

输入示例：主机名
ldap.example.com

* 请勿使用回环地址 (127.0.0.1)。

* 使用辅助服务器时，请在 [辅地址] 中输入 IP 地址或主机名。

[端口]

输入用于与 LDAP 服务器通信的端口号。

* 如果保留空白，则根据 [使用TLS] 设置使用以下设置：

选中复选框时，使用“636”

清除复选框时，使用“389”

[注释]

根据需要输入描述或说明。

[使用TLS]

使用 TLS 加密与 LDAP 服务器通信时，请选择此复选框。

[使用认证信息]

使用认证信息进行 LDAP 服务器认证时，请选择复选框并输入用户名和密码进行认证。

清除复选框可在不使用认证信息的情况下允许匿名访问 LDAP 服务器。

* 仅当 LDAP 服务器设置为允许匿名访问时。

[检索开始位置]

指定执行LDAP服务器认证时检索用户信息的位置(等级)。

指定属性。

[认证时验证的属性]

在 [用户名(键盘认证)] 中输入用户名注册的属性。

[为登录帐户设置的属性]

输入服务器上每个用户帐户的登录名称、显示名称和电子邮件地址的属性。

在 [域名设置方法] 中指定登录目标的域名。

要指定注册域名的属性，请选择 [指定域名获取的属性名称]，然后输入属性。

单击 [连接测试] 测试连接。

单击 [添加]。

添加服务器信息后，再次显示 [LDAP服务器管理] 屏幕。

单击 [上一步]。

再次显示 [编辑服务器设置] 屏幕。

指定 Microsoft Entra ID 信息

选中 [使用Microsoft Entra ID] 复选框。

单击 [域设置]。

随即显示 [Microsoft Entra ID域设置] 屏幕。

指定 Microsoft Entra ID 信息。

[登录目标名称]

输入要在登录目标显示的名称。

[域名]

输入登录目标的 Microsoft Entra ID 的域名。

[应用程序ID]

输入应用程序（客户端）ID。

[密钥]

输入 Microsoft Entra ID 生成的 secret。使用 [密钥和证书] 时无需输入。

[密钥和证书]

使用密钥和证书时单击 [密钥和证书] 设置要注册到 icrosoft Entra ID 的证书。选择密钥算法为 RSA 2048 位及以上，签名算法为 SHA256、SHA384 或 SHA512 的证书。.
可以单击 [导出证书] 将要注册到 Microsoft Entra ID 的证书导出。

[使用Microsoft登录屏幕]

当启用 Microsoft Entra ID 多因素认证时，选中此复选框以显示用于使用多因素认证登录的 Microsoft 登录屏幕。

* [Browser Engine] （位于 [网络访问]）需要设置为 [WebKit2]。[网络访问]

* 当 [自动重置时间] 设置为 [10] 秒时，可能会在登录屏幕显示之前执行自动重置功能。在这种情况下，请更改自动重置时间。[自动重置时间]

[Microsoft Entra ID认证URL] 和 [Microsoft Entra ID API URL]

输入 URL。根据云环境，可能需要更改设置。使用 [密钥] 时无需输入此项。

指定属性。

[为登录帐户设置的属性]

[登录名称]

从下拉菜单中，选择服务器上每个用户帐户的登录名称的属性。

* 要指定下拉菜单中未显示的属性，可以直接输入。

[WindowsLogonName]:
：displayName 从 Microsoft Entra ID 获取。displayName 更改如下以创建登录名：

从 displayName 中删除空格和以下字符：* + , . / : ; < > = ? \ [ ] |。

"@" 和任何后续字符都将被删除。

超过 20 个字符的字符串将缩短至 20 个字符或更少。

示例：displayName 为 user.001@example.com 时
user001

[displayName]：
从 Microsoft Entra ID 获取的 displayName 将成为登录名称。

[userPrincipalName]：
从 Microsoft Entra ID 获取的 userPrincipalName 将成为登录名称。

[userPrincipalName-Prefix]：
从Microsoft Entra Id获取的 userPrincipalName 中“@”之前的部分将成为登录名称。
示例：当 userPrincipalName 为“user.002@mail.test”时
user.002

[显示名称] 和 [电子邮件地址]

输入服务器上每个用户帐户的显示名称和电子邮件地址的属性。

在 [为登录帐户设置的域名]下的[域名]中指定登录目标的域名。

在[自动完成的域名]下的[使用键盘认证时自动完成输入用户名]中指定设置。

输入要执行自动补全的域名的名称。通常，请设置与 [域名] 中输入的相同名称。

单击 [连接测试] 测试连接。

单击 [更新]。

再次显示 [编辑服务器设置] 屏幕。

在 [认证超时] 中输入从认证开始到超时的时间。

在 [默认域] 中指定要连接的优先域。

在 [用户信息缓存] 中指定是否保留用户的认证信息。

要保留使用控制面板登录的用户的认证信息，请选择 [保存登录用户的认证信息] 复选框。如果机器无法在步骤5中设置的时间内连接到认证服务器，则可以使用缓存中的认证信息登录。

要保留使用键盘认证登录的用户的认证信息，也请选择 [使用键盘认证时保存用户信息] 复选框。
选中该复选框后，即使机器无法连接服务器，也可以使用所保留的认证信息登录。

在 [角色关联] 中指定用户信息和权限。

[用户属性浏览]

在用于确定用户权限(角色)的引用服务器上，输入属性。通常，可以使用预设值 "memberOf"表示用户所属的用户组。

[从[用户属性浏览]检索角色名称以应用]

选择该复选框可使用注册到 [用户属性浏览] 中指定的属性的字符串作为角色名称。在选择复选框之前，请选中机器上可选择的角色名称，并在服务器上注册。

[条件]

可以设置确定用户权限的条件。这些条件将按照其列出的顺序逐个应用。

在 [检索条件]中，选择 [字符串] 的检索标准。

在 [字符串]中，输入注册到 [用户属性浏览] 中指定的属性的字符串。要根据用户所属用户组指定权限，请输入组名称。

在 [角色] 中，选择适用于符合条件的用户的权限。

* 使用 Active Directory 服务器时，属于"Canon Peripheral Admins"组的用户会被预先设置为 [Administrator]。

单击 [更新]。

重新启动机器。重新启动机器

信息已注册。

注释

禁止缓存认证信息

您可以禁止缓存用户在登录外部认证服务器时输入的密码。[禁止缓存认证密码]

禁止缓存时，步骤 7 中的 [保存登录用户的认证信息] 设置会自动禁用。要启用步骤 7 中的设置，请选择 [保存登录用户的认证信息] 复选框并更新认证服务器信息。

如果 Active Directory 上 Kerberos 的端口号已更改

将以下信息作为 SRV 记录注册到 DNS 服务器：

服务：“_kerberos”

协议：“_udp”

端口号：Active Directory 域（区域）的 Kerberos 服务实际使用的端口号

提供此服务的主机：实际提供 Active Directory 域（区域）的 Kerberos 服务的域控制器主机名

在 Microsoft Entra ID 中注册应用程序

使用以下步骤在 Microsoft Entra ID 中注册应用程序。
注册过程可能会随着服务更新而变化。有关详细信息，请参阅 Microsoft 网站。

在导航菜单中，单击 [Microsoft Entra ID]。

注册应用程序。

在导航菜单中，单击 [应用注册]

[新注册]。

输入应用程序的名称。

可以输入任意名称。
输入示例：
Canon <打印机名称> 登录

选择帐户类型，然后单击 [注册]。

生成应用程序（客户端）ID。
记下生成的 ID。

创建密钥或注册证书。

创建密码时

在导航菜单中，单击 [证书和密码]。

单击[新客户端密码]。

在 [添加客户端密码] 对话框中，输入描述和到期日期，然后单击 [添加]。

随即创建密钥 ID 和值。
记下创建的密钥值。不需要密钥 Id。
*密钥值仅显示一次。如果无法记下该值，则创建一个新的客户端密钥。

注册证书时

机器证书需要提前导出。可以在配置 Microsoft Entra ID 信息时导出该证书。注册认证服务器信息

在导航菜单中，单击 [证书和密码]。

单击[上传证书]。

选择文件，然后单击 [添加]。

证书上传完成后，记下 [指纹] 值。

在导航菜单中，单击 [API 权限]。

单击[添加权限]。

在 [请求获取 API 权限] 下，选择 [Microsoft Graph]。

在权限类型下，选择 [委托的权限]，然后授予权限。

授予以下权限：

User.Read.All

Group.Read.All

GroupMember.Read.All

在权限类型下，选择 [应用程序权限]，然后授予权限。

授予以下权限：

User.Read.All

Group.Read.All

GroupMember.Read.All

* 由于多因素认证错误而无法登录机器时使用权限。根据所使用的功能和环境，这不是必需的。

单击 [授予管理员同意确认。]，然后单击 [是]。

管理员同意已授予所选权限。