Autenticazione nel server LDAP utilizzando la scheda di autenticazione (scheda di autenticazione LDAP-IC)

Descrizione generale

È possibile configurare le impostazioni in modo da eseguire l'autenticazione nel server LDAP utilizzando l'ID scheda registrata nella scheda di autenticazione (autenticazione scheda LDAP-IC).

L'autenticazione viene svolta solo posizionando la scheda IC. Ciò migliora la sicurezza senza danneggiare la capacità degli utenti di utilizzare facilmente la macchina.

Per eseguire l'autenticazione con la scheda di autenticazione, attuare la procedura seguente per configurare le impostazioni.

  1. Abilitare l'uso dell'Unità di autenticazione (tipo scheda IC) su questa macchina

    spiegazione supplementareUnità di autenticazione (tipo scheda IC) deve essere configurato dal tecnico dell'assistenza. Per ulteriori dettagli, contattate il tecnico dell'assistenza.

  2. Configurazione delle impostazioni di base per l'autenticazione con scheda LDAP-IC

  3. Specificare le seguenti opzioni in base all'ambiente di utilizzo

    Scopo

    Riferimento

    Comunicare con il server LDAP tramite SSL

    [Utilizzo delle comunicazioni SSL]

    Proteggersi dallo spegnimento del server LDAP

    [Impostazione di un server di autenticazione secondario in caso di spegnimento del server LDAP]

    Consentire all'utente di registrare l'ID della scheda IC nel server LDAP

    [Impostazione per consentire all'utente di registrare la scheda IC nel server LDAP]

Configurazione delle impostazioni di base per l'autenticazione con scheda LDAP-IC

  1. Nel modo amministratore, selezionare [Autent utente/EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Impostazioni autenticazione scheda LDAP/IC], impostare [Impostazioni autenticazione scheda LDAP/IC] su [ON] (predefinito: [OFF]).

  2. Nel modo amministratore, selezionare [Autent utente/EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Registrazione server] - [Modifica], quindi registrare le informazioni del server LDAP da usare per l'autenticazione dell'ID utente della scheda IC.

    Impostazioni

    Descrizione

    [Indir. server]

    Inserire l'indirizzo del server LDAP da usare per l'autenticazione dell'ID utente della scheda IC.

    Usare uno dei seguenti formati.

    • Esempio di voce nome host: "host.example.com"

    • Esempio di voce indirizzo IP (IPv4): "192.168.1.1"

    • Esempio di voce indirizzo IP (IPv6): "fe80::220:6bff:fe10:2f16"

    [Porta nº]

    Se necessario, modificare il numero di porta del server LDAP.

    In circostanze normali, è possibile usare il numero di porta originale.

    [389] è specificato in modo predefinito.

    Da [Base di ricerca 1] a [Base di ricerca 3]

    Specificare il punto di inizio e l'intervallo della ricerca di un utente di cui effettuare l'autenticazione.

    • [Base ricerca]: Specificare il punto di inizio della ricerca di una destinazione (utilizzando fino a 255 caratteri).
      Esempio di voce"cn=users,dc=example,dc=com"

    • [Intervallo di ricerca]: Selezionare una struttura ad albero dell'intervallo di ricerca. [Albero completo] è specificato in base alle impostazioni predefinite.
      Selezionando [Albero completo] effettua una ricerca comprendente la struttura ad albero sotto il punto di inizio inserito. Selezionando [Solo gerarchia successiva] effettua una ricerca comprendente un solo livello, direttamente sotto il punto di inizio inserito. In questo caso, il livello al punto di inizio della ricerca non è incluso come destinazione di ricerca.

    [Timeout TX]

    Se necessario, modificare il periodo di timeout per limitare la comunicazione con il server LDAP.

    [60] sec. è specificato in modo predefinito.

    [Metodo di autenticazione]

    Selezionare il metodo di autenticazione per l'accesso al server LDAP.

    Impostare un singolo metodo di autenticazione appropriato, utilizzato per il proprio Server LDAP.

    • [Semplice]

    • [Seleziona-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Semplice] è specificato in modo predefinito.

    [Nome login]

    Accedere al Server LDAP, ed immettere il nome login per cercare un utente (utilizzando fino a 64 caratteri).

    [Password]

    Inserire la password del nome utente inserito nel [Nome accesso] (utilizzando fino a 64 caratteri, escluso ").

    Per inserire (modificare) la password, selezionare la casella di controllo [Password modificata.] e inserire una nuova password.

    [Nome di dominio]

    Immettere il nome di dominio di accesso al Server LDAP (utilizzando fino a 64 caratteri).

    Se è selezionato [GSS-SPNEGO] per il [Metodo di autenticazione], inserire il nome di dominio di Active Directory.

    [Uso reinvio]

    Selezionare se utilizzare o meno la funzione di riferimento, se necessario.

    Eseguire la scelta appropriata per l'ambiente del server LDAP.

    [ON] è specificato in base alle impostazioni predefinite.

    [Ricerca attributo]

    Inserire l'attributo dell'ubicazione in cui sono registrate le informazioni sulla scheda IC (utilizzando fino a 63 caratteri, compreso il simbolo -).

    L'attributo deve iniziare con un carattere alfabetico.

    [uid] è specificato in base alle impostazioni predefinite.

    [Nome Utente]

    Selezionare come ottenere il nome utente quando si accede alla macchina.

    • [Usa ID scheda]: selezionare questa opzione quando sul server sono registrate solamente le informazioni della scheda IC. Usare l'ID scheda della scheda IC come nome utente.

    • [Acquisizione in corso]: selezionare questa opzione quando sul server sono registrate informazioni utente diverse dalle informazioni della scheda IC. Consente di usare il nome utente ottenuto dal server. Inserire l'attributo da cercare come nome utente ("uid") in [Attributo nome utente].
      Se si seleziona [ON] in [Impostazioni registrazione informazioni scheda], [Acquisizione in corso] è selezionato e non è possibile eseguire alcuna modifica. Successivamente, l'attributo specificato in [Impostazioni registrazione informazioni scheda] è visualizzato in [Attributo nome utente]. Per informazioni dettagliate sulle [Impostazioni registrazione informazioni scheda], fare riferimento a [Impostazione per consentire all'utente di registrare la scheda IC nel server LDAP] .

    [Usa ID scheda] è specificato in base alle impostazioni predefinite.

    [Connessione server esterno]

    Selezionare il nome del server esterno da usare come informazioni di autenticazione salvate nella macchina.

    Le informazioni di autenticazione sono salvate nella macchina quando l'autenticazione scheda LDAP-IC è completata con successo. Questa informazione di autenticazione include il Nome utente e il nome del server esterno.

    Quali informazioni di autenticazione da salvare nella macchina, è possibile registrare il nome del server esterno registrato nella macchina.

    [Nessuno] è specificato in base alle impostazioni predefinite.

Utilizzo delle comunicazioni SSL

Le comunicazioni tra la macchina e il server LDAP sono crittografate con SSL.

Configurare l'impostazione se l'ambiente necessita della comunicazione crittografata SSL con il server LDAP.

Nel modo amministratore, selezionare [Autent utente/EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Registrazione server] - [Modifica], quindi configurare le seguenti impostazioni.

Impostazioni

Descrizione

[Abilita SSL]

Selezionare questa casella di controllo per usare le comunicazioni SSL.

[OFF] (non selezionato) è specificato in base alle impostazioni predefinite.

[Numero porta (SSL)]

Se necessario, modificare il numero di porta delle comunicazioni SSL.

In circostanze normali, è possibile usare il numero di porta originale.

[636] è specificato in modo predefinito.

[Impostazioni livello verifica certificato]

Per verificare il certificato, selezionare le voci da controllare.

Se si seleziona [Confermare] in ogni voce, il certificato viene verificato in ogni voce.

[Data di scadenza]

Confermare se il certificato è ancora valido.

[Confermare] è specificato in modo predefinito.

[CN]

Confermare se CN (Nome comune) del certificato coincide con l'indirizzo server.

[Non confermare] è specificato in modo predefinito.

[Utilizzo tasti]

Confermare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato.

[Non confermare] è specificato in modo predefinito.

[Catena]

Confermare se esiste un problema nella catena del certificato (percorso del certificato).

La catena è validata referenziando i certificati esterni gestiti su questa macchina.

[Non confermare] è specificato in modo predefinito.

[Conferma data di scadenza]

Confermare se il certificato è scaduto.

Confermare la scadenza del certificato nel seguente ordine.

  • Servizio OCSP (Online Certificate Status Protocol)

  • CRL (Certificate Revocation List)

[Non confermare] è specificato in modo predefinito.

Impostazione di un server di autenticazione secondario in caso di spegnimento del server LDAP

Quando il server LDAP è installato, è possibile impostare un server di autenticazione secondario che entri in funzione in caso di spegnimento del server di autenticazione primario.

Impostando un server di autenticazione secondario, questo entra in funzione anche se il server di autenticazione primario utilizzato per le normali operazioni si è spento, permettendo così la continuazione della funzione di autenticazione LDAP-IC.

  1. Nel modo amministratore, selezionare [Autent utente / EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Impostazioni server autenticazione secondario], quindi configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [Impostazioni server autenticazione secondario]

    Selezionare [ON] per usare il server di autenticazione secondario.

    [OFF] è specificato in base alle impostazioni predefinite.

    [Impostazioni di riconnessione]

    Specificare l'ora di riconnessione al server di autenticazione primario.

    [Imposta intervallo di riconnessione] è specificato in base alle impostazioni predefinite.

    • [Riconnetti a ogni login]: si connette al server di autenticazione primario ogni volta che l'autenticazione viene svolta nella macchina. Se il server di autenticazione primario si spegne, la macchina si connette al server di autenticazione secondario.

    • [Imposta intervallo di riconnessione]: effettua la connessione al server di autenticazione secondario quando il server di autenticazione primario si spegne al momento dell'autenticazione della macchina. A questo punto la macchina viene connessa al server di autenticazione secondario al momento dell'autenticazione della macchina, fino allo scadere dell'orario specificato in [Ora di riconnessione]. Allo scadere dell'orario specificato in [Ora di riconnessione], la macchina viene riconnessa al server di autenticazione primario al momento dell'autenticazione della macchina.

  2. Nel modo amministratore, selezionare [Autent utente / EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Registra server di autenticazione secondario], quindi fare clic su [Modifica] per configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [Indir. server]

    Inserire l'indirizzo del server LDAP.

    Usare uno dei seguenti formati.

    • Esempio di voce nome host: "host.example.com"

    • Esempio di voce indirizzo IP (IPv4): "192.168.1.1"

    • Esempio di voce indirizzo IP (IPv6): "fe80::220:6bff:fe10:2f16"

    [Porta nº]

    Se necessario, modificare il numero di porta del server LDAP.

    In circostanze normali, è possibile usare il numero di porta originale.

    [389] è specificato in modo predefinito.

    Da [Base di ricerca 1] a [Base di ricerca 3]

    Specificare il punto di inizio e l'intervallo della ricerca di un utente di cui effettuare l'autenticazione.

    • [Base ricerca]: Specificare il punto di inizio della ricerca di una destinazione (utilizzando fino a 255 caratteri).
      Esempio di voce"cn=users,dc=example,dc=com"

    • [Intervallo di ricerca]: Selezionare una struttura ad albero dell'intervallo di ricerca. [Albero completo] è specificato in base alle impostazioni predefinite.
      Selezionando [Albero completo] effettua una ricerca comprendente la struttura ad albero sotto il punto di inizio inserito. Selezionando [Solo gerarchia successiva] effettua una ricerca comprendente un solo livello, direttamente sotto il punto di inizio inserito. In questo caso, il livello al punto di inizio della ricerca non è incluso come destinazione di ricerca.

    [Timeout TX]

    Se necessario, modificare il periodo di timeout per limitare la comunicazione con il server LDAP.

    [60] sec. è specificato in modo predefinito.

    [Metodo di autenticazione]

    Selezionare il metodo di autenticazione per l'accesso al server LDAP.

    Impostare un singolo metodo di autenticazione appropriato, utilizzato per il proprio Server LDAP.

    • [Semplice]

    • [Seleziona-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Semplice] è specificato in modo predefinito.

    [Nome login]

    Accedere al Server LDAP, ed immettere il nome login per cercare un utente (utilizzando fino a 64 caratteri).

    [Password]

    Inserire la password del nome utente inserito nel [Nome accesso] (utilizzando fino a 64 caratteri, escluso ").

    Per inserire (modificare) la password, selezionare la casella di controllo [Password modificata.] e inserire una nuova password.

    [Nome di dominio]

    Immettere il nome di dominio di accesso al Server LDAP (utilizzando fino a 64 caratteri).

    Se è selezionato [GSS-SPNEGO] per il [Metodo di autenticazione], inserire il nome di dominio di Active Directory.

    [Uso reinvio]

    Selezionare se utilizzare o meno la funzione di riferimento, se necessario.

    Eseguire la scelta appropriata per l'ambiente del server LDAP.

    [ON] è specificato in base alle impostazioni predefinite.

    [Ricerca attributo]

    Inserire l'attributo dell'ubicazione in cui sono registrate le informazioni sulla scheda IC (utilizzando fino a 63 caratteri, compreso il simbolo -).

    L'attributo deve iniziare con un carattere alfabetico.

    [uid] è specificato in base alle impostazioni predefinite.

    [Nome Utente]

    Selezionare come ottenere il nome utente quando si accede alla macchina.

    • [Usa ID scheda]: selezionare questa opzione quando sul server sono registrate solamente le informazioni della scheda IC. Usare l'ID scheda della scheda IC come nome utente.

    • [Acquisizione in corso]: selezionare questa opzione quando sul server sono registrate informazioni utente diverse dalle informazioni della scheda IC. Consente di usare il nome utente ottenuto dal server. Inserire l'attributo da cercare come nome utente ("uid") in [Attributo nome utente].
      Se si seleziona [ON] in [Impostazioni registrazione informazioni scheda], [Acquisizione in corso] è selezionato e non è possibile eseguire alcuna modifica. Successivamente, l'attributo specificato in [Impostazioni registrazione informazioni scheda] è visualizzato in [Attributo nome utente]. Per informazioni dettagliate sulle [Impostazioni registrazione informazioni scheda], fare riferimento a [Impostazione per consentire all'utente di registrare la scheda IC nel server LDAP] .

    [Usa ID scheda] è specificato in base alle impostazioni predefinite.

  3. Se una comunicazione con il server LDAP è crittografata usando SSL, selezionare [Autent utente / EKC] - [Impostazioni autenticazione scheda LDAP/IC] - [Registra server di autenticazione secondario] nel modo amministratore, quindi fare clic su [Modifica] per configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [Abilita SSL]

    Selezionare questa casella di controllo per usare le comunicazioni SSL.

    [OFF] (non selezionato) è specificato in base alle impostazioni predefinite.

    [Numero porta (SSL)]

    Se necessario, modificare il numero di porta delle comunicazioni SSL.

    In circostanze normali, è possibile usare il numero di porta originale.

    [636] è specificato in modo predefinito.

    [Impostazioni livello verifica certificato]

    Per verificare il certificato, selezionare le voci da controllare.

    Se si seleziona [Confermare] in ogni voce, il certificato viene verificato in ogni voce.

    [Data di scadenza]

    Confermare se il certificato è ancora valido.

    [Confermare] è specificato in modo predefinito.

    [CN]

    Confermare se CN (Nome comune) del certificato coincide con l'indirizzo server.

    [Non confermare] è specificato in modo predefinito.

    [Utilizzo tasti]

    Confermare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato.

    [Non confermare] è specificato in modo predefinito.

    [Catena]

    Confermare se esiste un problema nella catena del certificato (percorso del certificato).

    La catena è validata referenziando i certificati esterni gestiti su questa macchina.

    [Non confermare] è specificato in modo predefinito.

    [Conferma data di scadenza]

    Confermare se il certificato è scaduto.

    Confermare la scadenza del certificato nel seguente ordine.

    • Servizio OCSP (Online Certificate Status Protocol)

    • CRL (Certificate Revocation List)

    [Non confermare] è specificato in modo predefinito.

Tips
  • Per verificare lo stato della connessione del server di autenticazione primario e di quello secondario, selezionare [Autent utente / EKC] - [Stato connessione server primario/secondario] - [Autenticazione scheda LDAP-IC] nel modo amministratore. Se viene visualizzato [Collegamento permesso] è possibile connettersi sia al server di autenticazione primario che a quello secondario.

Impostazione per consentire all'utente di registrare la scheda IC nel server LDAP

Quando l'autenticazione viene svolta nella macchina utilizzando una scheda IC non registrata nel server LDAP, configurare un'impostazione per consentire all'utente di registrare la scheda IC al server LDAP.

L'utente può registrare le informazioni di una nuova scheda IC nel server LDAP, permettendo così la riduzione della qualità dell'utente o il carico degli amministratori.

Nel modo amministratore, selezionare [Autent utente/Imp Traccia account] - [Impostazioni autenticazione scheda LDAP/IC] - [Impostazioni registrazione informazioni scheda] - [Impostazioni registrazione informazioni scheda], quindi configurare le seguenti impostazioni.

Impostazioni

Descrizione

[Impostazioni registrazione informazioni scheda]

Per registrare la scheda IC nel Server LDAP quando l'autenticazione è eseguita sulla macchina utilizzando una scheda IC non registrata nel server LDAP, selezionare [ON].

Se si seleziona [ON] inserire l'attributo come "uid" da cercare come nome utente in [Attributo nome utente].

[OFF] è specificato in base alle impostazioni predefinite.

Se si seleziona [ON] in [Impostazioni registrazione scheda], la configurazione di [Impostazioni autenticazione scheda LDAP/IC] viene modificata come indicato sotto.

Quando il server di autenticazione secondario non è stato specificato per il suo utilizzo:

  • [Nome utente] di [Registrazione server] è impostato su [Acquisizione in corso].

  • Lo stesso attributo specificato in [Attributo nome utente] di questa impostazione è impostato su [Attributo nome utente] di [Registrazione server].

Quando il server di autenticazione secondario non è stato specificato per il suo utilizzo:

  • [Nome utente] di [Registrazione server] è impostato su [Acquisizione in corso].

  • Lo stesso attributo specificato in [Attributo nome utente] di questa impostazione è impostato su [Attributo nome utente] di [Registrazione server].

  • [Nome utente] di [Registra server di autenticazione secondario] è impostato su [Acquisizione in corso].

  • Lo stesso attributo specificato in [Attributo nome utente] di questa impostazione è impostato su [Attributo nome utente] di [Server autenticazione secondario].

Tips
  • Per utilizzare questa funzione, è necessario pre-configurare un'impostazione in modo che l'utente possa registrare le informazioni della scheda IC. Sul Pannello di controllo di questa macchina, selezionare [Impostazioni amministratore] - [Impostazioni di sistema] - [Vieta operazioni utente] - [Vieta accesso a imp. lav.], quindi impostare [Info. Registrazione Biometrica/Scheda IC] su [Permetti] (Predefinito: [Vieta]).