ホーム>Web設定ツール>認証カードを使ってLDAPサーバーで認証する(LDAP-ICカード認証)

認証カードを使ってLDAPサーバーで認証する(LDAP-ICカード認証)

概要

認証カードに登録されているカードIDを使って、LDAPサーバーで認証するように設定できます(LDAP-ICカード認証)。

ICカードをかざすだけで認証が完了するので、ユーザーの利便性を損なうことなく、セキュリティーを強化できます。

認証カードを使って認証するには、次の手順で設定してください。

  1. 本機で認証装置(ICカード認証タイプ)を使えるようにする

    • 認証装置(ICカード認証タイプ)を使うには、サービスエンジニアによる設定が必要です。詳しくは、サービス実施店にお問い合わせください。

  2. LDAP-ICカード認証の基本設定をする

  3. お使いの環境に応じて、次のオプション設定をする

    目的

    参照先

    LDAPサーバーとSSLで通信したい

    こちら

LDAP-ICカード認証の基本設定をする

  1. 管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[LDAP-ICカード認証設定]で、[LDAP-ICカード認証設定]を[使用する]に設定します(初期値:[使用しない])。

  2. 管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]で、ICカードのユーザーIDを認証するLDAPサーバーの情報を登録します。

    設定

    説明

    [サーバーアドレス]

    ICカードのユーザーIDを認証するLDAPサーバーのアドレスを入力します。

    次のいずれかのフォーマットで入力します。

    • ホスト名の入力例:「host.example.com」

    • IPアドレス(IPv4)の入力例:「192.168.1.1」

    • IPアドレス(IPv6)の入力例:「fe80::220:6bff:fe10:2f16」

    [ポート番号]

    必要に応じて、LDAPサーバーのポート番号を変更します。

    通常はそのままお使いいただけます。

    初期値は[389]です。

    [検索ベース]

    認証するユーザーを検索するときの、検索の起点を指定します(半角255文字以内)。

    入力した起点から下のツリー構造も含めて検索します。

    入力例:「cn=users,dc=example,dc=com」

    [タイムアウト時間]

    必要に応じて、LDAPサーバーとの通信のタイムアウト時間を変更します。

    初期値は[60]秒です。

    [認証方式]

    LDAPサーバーへログインするときの、認証方式を選びます。

    お使いのLDAPサーバーで採用している認証方式に合わせて選びます。

    • [Simple]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    初期値は[Simple]です。

    [ログイン名]

    LDAPサーバーへログインして、ユーザーの検索が行えるログイン名を入力します(全角/半角64文字以内)。

    [パスワード]

    [ログイン名]に入力したユーザー名のパスワードを入力します("を除く半角64文字以内)。

    パスワードを入力(変更)する場合は、[パスワードを変更する]にチェックをつけてから、新しいパスワードを入力します。

    [ドメイン名]

    LDAPサーバーへログインするためのドメイン名を入力します(半角64文字以内)。

    [認証方式]で[GSS-SPNEGO]を選んだ場合は、Active Directoryのドメイン名を入力します。

    [referral設定]

    必要に応じて、referral機能を使うかどうかを選びます。

    LDAPサーバーの環境に応じて設定してください。

    初期値は[使用する]です。

    [検索属性]

    ICカード情報を入力した場所に対する属性を入力します(半角63文字以内、記号は-のみ使用可能)。

    属性値は、半角英字で始める必要があります。

    初期値は[uid]です。

    [ユーザー名]

    本機にログインするときのユーザー名の取得方法を選びます。

    • [カードIDを使用]:サーバーに、ICカード情報のみを登録している場合に選択します。ICカードにあるカードIDをユーザー名として使います。

    • [サーバーから取得]:サーバーに、ICカード情報以外のユーザー情報を登録している場合に選択します。サーバーから取得したユーザー名を使います。ユーザー名として検索する属性(「uid」など)を、[ユーザー名とする属性]に入力します。

    初期値は[カードIDを使用]です。

    [連携外部サーバー]

    本機に保存する認証情報に使う、外部サーバーの名前を選びます。

    LDAP-ICカード認証が成功したときは、認証情報を本機に保存します。この認証情報には、ユーザー名と外部サーバーの名前が含まれます。

    本機に保存する認証情報のうち、外部サーバー名は、本機に登録されている外部サーバーの名前を登録できます。

    初期値は[選択なし]です。

SSLで通信する

本機とLDAPサーバーとの通信を、SSLで暗号化します。

お使いの環境で、LDAPサーバーとの通信をSSLで暗号化している場合に設定します。

管理者モードの[ユーザー認証/部門管理]-[LDAP-ICカード認証設定]-[サーバー登録]-[編集]で、次の設定をします。

設定

説明

[SSL使用設定]

SSLで通信するときは、チェックをつけます。

初期値は[OFF](チェックなし)です。

[ポート番号(SSL)]

必要に応じて、SSL通信用のポート番号を変更します。

通常はそのままお使いいただけます。

初期値は[636]です。

[証明書検証強度設定]

証明書の検証を行う場合は、検証する項目を選びます。

それぞれの項目で[確認する]を選ぶと、その項目について、証明書の検証を行います。

[有効期限]

証明書が有効期限内かどうかを確認します。

初期値は[確認する]です。

[CN]

証明書のCN(Common Name)が、サーバーのアドレスと一致しているかどうかを確認します。

初期値は[確認しない]です。

[鍵使用法]

証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します。

初期値は[確認しない]です。

[チェーン]

証明書のチェーン(証明書のパス)に問題がないかどうかを確認します。

チェーンの確認は、本機で管理している外部証明書を参照して行います。

初期値は[確認しない]です。

[失効確認]

証明書が失効していないかどうかを確認します。

証明書の失効確認は、以下の順番で行います。

  • OCSP(Online Certificate Status Protocol)サービス

  • CRL(Certificate Revocation List)

初期値は[確認しない]です。