MEAP認証システム設定 |
MEAPのログインサービスについて説明しています。 |
ログインサービスについて |
ログインサービスとは、LBPシリーズ(以下、本体と呼びます。)を使用するユーザを認証するためのサービスです。ユーザ認証は、次の2 つの場合に行われます。
工場出荷時に装備しているログインサービスには、Default Authentication(部門別ID管理)、SSO-H(Single Sign-On H)の2 種類があります。本書では、この2 種類のログインサービスについて説明します。 |
おことわり |
|
||||||
Default Authentication(部門別ID 管理) |
部門別ID 管理を使用してユーザ認証を行うか、認証機能を設定しない場合に選択するログインサービスです。ユーザには、管理者ユーザ、一般ユーザの2 種類があり、本体、リモートUI、およびMEAP アプリケーションで使える機能が異なります。 |
管理者ユーザ | 一般ユーザ | ||
部門別ID 管理[ON] | システム管理者情報を設定している | システム管理者 | 部門ID /暗証番号で認証されたユーザ |
システム管理者情報を設定していない | 部門ID/暗証番号で認証されたユーザ | なし | |
部門別ID 管理[OFF] | システム管理者情報を設定している | システム管理者 | システム管理者以外のユーザ |
システム管理者情報を設定していない | すべてのユーザ | なし |
おことわり |
|
||||||
タッチパネルディスプレイ |
|
|
おことわり |
|
![]() |
|
||||
Web ブラウザ |
|
|
|
|
おことわり |
|
![]() |
|
||||
SSO-H(Single Sign-On H) |
Active Directory 環境ネットワークのドメイン上および本体で運用できるログインサービスです。ユーザ情報の登録/編集、管理者ユーザ、一般ユーザの設定は、以下の場所から行います。
SSO-H には次のような機能があります。
|
ユーザ認証方式について |
SSO-H には、以下の3 つのユーザ認証方式があります。 |
おことわり |
|
|
|||||
Active Directory 環境のネットワーク上のドメインコントローラと連携し、本体にログインすると同時に、ネットワーク上のドメインへの認証も行うユーザ認証方式です。本体が含まれるドメインの所属ユーザに加え、そのドメインと信頼関係にある200 個までのドメインの所属ユーザを認証できます。ログイン先のドメイン名は、ユーザ自身がログイン時に選択します。 |
本体単体で使用するユーザ認証方式です。認証するユーザを本体の中にもつデータベースで登録/管理します。ログイン先は[このデバイス]です。 |
「ドメイン認証」と「ローカルデバイス認証」の両方の機能を備えたユーザ認証方式です。主にドメイン認証で、Active Directory で登録/管理されたユーザの認証を行い、ローカルデバイス認証でActive Directoryに追加できないような一時的なユーザの認証を行いたいときに便利です。 下の例では、本体が含まれるDomain A の所属ユーザおよびDomain A と直接双方向に信頼関係のあるDomain B の所属ユーザを認証できるほか、本体自身に登録されているユーザを認証できます。ログイン先( ドメイン名または[このデバイス]) は、ユーザ自身がログイン時に選択します。
|
おことわり |
|
![]() |
|
||||
タッチパネルディスプレイ |
ログイン先を選択し、ユーザ名、パスワードを入力して本体にログインします。 ログイン先は、ログイン先ドロップダウンリストを押してから選択します。 |
おことわり |
|
|
|||||
Web ブラウザ |
ログイン先を選択し、ユーザ名、パスワードを入力して、リモートUI、MEAP アプリケーション(ログインアプリケーションを含みます)にログインします。
ログイン先は、ログイン先ドロップダウンリストを押してから選択します。
|
おことわり |
|
||||||
ドメイン認証 |
SSO-Hでドメイン認証を利用する場合は、Active DirectoryをインストールしたWindowsサーバおよび名前解決のためのDNSサーバが必要です。 |
|
|
OS | 対応ブラウザ | 対応するJava Runtime Environment |
Windows 2000 Professional 日本語版 | Microsoft Internet Explorer 6 SP1 | |
Windows XP Professional 日本語版 | Microsoft Internet Explorer 6 SP1、 Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Server 2003 日本語版 Windows Server 2003 R2 日本語版 |
Microsoft Internet Explorer 6 SP1、 Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Vista 日本語版 | Microsoft Internet Explorer 7 | |
Mac OS X v10.3 | Safari 1.3.2 | Sun Java Runtime Environment 5.0 |
Mac OS X v10.4 | Safari 2.0.4 |
|
OS | 対応ブラウザ | 対応するJava Runtime Environment |
Windows XP Professional 日本語版 | Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Server 2003 日本語版 Windows Server 2003 R2 日本語版 |
Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Vista 日本語版 | Microsoft Internet Explorer 7 |
|
おことわり |
|
|
|||||
SSO-H でドメイン認証を使用する場合、以下のサーバのポートを使用します。 |
ポート番号 | 用途 |
53 | DNS サーバとの通信 |
88 | KDC(Key Distribution Center) とのドメイン認証 |
389 | ディレクトリサービスとのLDAP を使用した通信(初期値は389、LDAP サービス側で任意ポートに変更可) |
ローカルデバイス認証 |
ローカルデバイス認証を使用する場合には、Active Directory 環境のネットワークは必要ありません。 |
おことわり |
|
|
|||||
|
OS | 対応ブラウザ | 対応するJava Runtime Environment |
Windows 2000 Professional 日本語版 | Microsoft Internet Explorer 6 SP1 | |
Windows XP Professional 日本語版 | Microsoft Internet Explorer 6 SP1、 Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Server 2003 日本語版 Windows Server 2003 R2 日本語版 |
Microsoft Internet Explorer 6 SP1、 Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Vista 日本語版 | Microsoft Internet Explorer 7 | |
Mac OS X v10.3 | Safari 1.3.2 | Sun Java Runtime Environment 5.0 |
Mac OS X v10.4 | Safari 2.0.4 |
|
OS | 対応ブラウザ | 対応するJava Runtime Environment |
Windows XP Professional 日本語版 | Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Server 2003 日本語版 Windows Server 2003 R2 日本語版 |
Microsoft Internet Explorer 6 SP2、 Microsoft Internet Explorer 7 |
|
Windows Vista 日本語版 | Microsoft Internet Explorer 7 |
おことわり |
|
|
|||||
ネットワーク設定 |
システム管理設定(ユーザモードまたは初期設定/登録)の「ネットワーク設定」の項目を設定します。また本体のIP アドレスを確認してください。詳しくは、「ネットワーク」を参照してください。 |
Web ブラウザから本体にアクセスできるようにする |
システム管理設定にある「MEAP 設定」の[HTTP を使用]を「ON」にしておきます。「ON」にしないとWeb ブラウザから本体にアクセスすることができません。 Web ブラウザからMEAP の機能を使用するための設定は、本体のタッチパネルディスプレイから行います。 |
おことわり |
|
![]() |
|
||||
システム管理部門ID とシステム管理暗証番号が設定されている場合は、[システム管理設定]を押したあとにシステム管理部門ID と暗証番号を入力して |
|
< SSL を使用>が表示されていない機種の場合は、手順6 に進みます。
|
[ON] SSL のセキュア通信を使用します。 [OFF]SSL のセキュア通信を使用しません。
|
指定したモードが設定されます。 |
|
|
日付と時刻の設定 |
SSO-H では、認証サーバと本体の日付/時刻を合わせる必要があります。本体の「日付/時刻設定」で本体の日付/時刻を認証サーバと同じ日付/時刻に設定してください。詳しくは、「セキュリティ」を参照してください。 サマータイムを設定すると、開始日から終了日までの一定期間、本体の基準時刻を自動的に 1 時間進めることができます。 |
おことわり |
|
|
|||||
DNS 設定 |
本体でDNS サーバを使用するように、システム管理設定(初期設定/登録)の「ネットワーク設定」の項目を設定します。詳しくは、「ネットワーク」を参照してください。 本体に設定されているドメイン名を管理するDNS サーバには、以下の設定が必要です。
また使用する機能によっては、さらに以下の設定が必要です。
|
|
「_ldap」 |
|
「_tcp」 |
|
ActiveDirectory ドメイン(ゾーン)のLDAPサービスが実際に使用しているポート番号 |
|
ActiveDirectory ドメイン(ゾーン)のLDAPサービスを実際に提供しているドメインコントローラのホスト名 |
部門認証の設定 |
SSO-H を使用する前に、本体の部門別ID 管理をOFF にしておく必要があります。部門別ID 管理をOFF にする方法については、「部門別ID管理を設定する(部門別ID 管理)」を参照してください。 |
おことわり |
|
||||||
管理用アプリケーションへのログイン |
SSO-H のローカルデバイス認証でのユーザ管理とSSO-H の各種設定を行うためには、管理用アプリケーションにログインする必要があります。 |
おことわり |
|
|
|||||
ログインするには |
|
http://<本体のIP アドレスまたはホスト名>:8000/sso/ [ログイン]ページが表示されます。
|
SSO-H の管理用アプリケーションにログインします。 |
|
|
|
MEAP Portal からのログイン |
おことわり |
|
|
|||||
|
http://<本体のIP アドレスまたはホスト名>/ [ログイン]ページが表示されます。
|
リモートUI にログインします。 |
|
|
[MEAP Portal]ページが表示されます。
|
[管理用アプリケーション]ページが表示されます。 |
SSO-H の管理用アプリケーションにログインします。 |
|
ユーザ認証方式を設定する |
SSO-H の3 つのユーザ認証方式のいずれかを使用するかを設定できます。 |
おことわり |
|
![]() |
|
||||
[設定]ページが表示されます。
|
|
ドメイン管理者を登録するユーザグループを指定する |
デバイス管理者のユーザグループとして、あらかじめ「Canon Peripheral Admins」が設定されています。管理者のユーザ名を変更する場合に必要な設定になります。 |
おことわり |
|
![]() |
|||||
[設定]ページが表示されます。
|
|
|
ログイン時に表示可能なユーザ数を設定する |
SSO-H でログインするときに、タッチパネルディスプレイに表示するユーザのログイン履歴の数(ログインユーザの表示数)を設定できます。 |
おことわり |
|
![]() |
|
||||
[設定]ページが表示されます。
|
[ログインユーザの表示数]
|
サイト内アクセスモードを設定する |
ドメイン内で複数のサイトを構築して運用している場合には、Active Directory のサイト情報を取得して、本体が所属するサイト内のドメインコントローラに優先的にアクセスするように設定することができます。サイト内アクセスモードを設定した場合、さらに次の2つの設定を選択することができます。
|
おことわり |
|
![]() |
|
||||
[設定]ページが表示されます。
|
|
ローカルデバイス認証のユーザ情報を登録/編集する |
ローカルデバイス認証で認証するユーザ情報をWeb ブラウザから登録/編集します。また、ユーザ情報を一括してインポート/エクスポートすることもできます。 |
おことわり |
|
|
|||||
ユーザ情報の登録 |
認証するユーザを新たに登録します。 |
おことわり |
|
|
|||||
[ユーザ管理]ページが表示されます。 |
新規作成ページが表示されます。 |
入力する項目の内容、設定条件などは以下のとおりです。
新規のユーザ情報が登録されます。
|
ユーザ情報の編集 |
登録されているユーザの情報を変更します。編集したユーザ情報は、バックアップのためエクスポートしておくことをおすすめします。(→ ユーザ情報のエクスポート) |
おことわり |
|
|
|||||
[ユーザ管理]ページが表示されます。 |
|
|
ユーザ情報の削除 |
登録されているユーザの情報を削除します。 |
おことわり |
|
![]() |
|||||
[ユーザ管理]ページが表示されます。 |
ユーザ情報が削除されます。
|
ユーザ情報のインポート |
他の本体などに登録されているユーザ情報をファイルから読み込んで登録することができます。 インポートするファイル形式に関しては、「ローカルデバイス認証のユーザ情報ファイルのファイル形式」を参照してください。 |
おことわり |
|
![]() |
|||||
[ユーザ管理]ページが表示されます。 |
|
|
|
ユーザ情報のエクスポート |
本体に登録されているローカルデバイス認証のユーザ情報をパソコンのファイルに保存することができます。本体に登録されているユーザ情報を別のデバイスで使用するときや、バックアップするときなどに利用します。 |
おことわり |
|
![]() |
|||||
[ユーザ管理]ページが表示されます。 |
|
|
ファイルのダウンロードが開始されます。 |
ユーザ情報の登録 |
SSO-H のドメイン認証では、ログイン先に指定したドメインのActive Directory に存在するユーザでログイン認証を行います。ユーザ情報の登録/編集については、システム管理者にご相談ください。 |
おことわり |
|
||||||
|
ドメイン認証の管理者ユーザの登録 |
ドメイン認証では、ドメイン認証の管理者ユーザのみがSSO-H の管理用アプリケーションにログインすることができます。 登録したユーザをドメイン認証の管理者ユーザにするには、Active Directory でそのユーザを「Canon Peripheral Admins」グループ、または任意の管理者グループに所属させます。「Canon Peripheral Admins」グループを追加するには、次のようにします。 |
おことわり |
|
||||||
グループの追加 |
|
|
[新しいオブジェクト- グループ]ダイアログボックスが表示されます。 |
|
ユーザを「Canon Peripheral Admins」グループに所属させる |
|
|
[グループの選択]ダイアログボックスが表示されます。 |
|
|
ローカルデバイス認証の一般ユーザが自分のパスワードを変更する |
ローカルデバイス認証の一般ユーザは、自分自身のパスワードを変更することができます。これによって、ユーザの個人情報のセキュリティを高めることができます。管理者ユーザは、一般ユーザにパスワードの変更ができることをお知らせください。 |
|
http://<本体のIP アドレスまたはホスト名>:8000/sso/ [ログイン]ページが表示されます。
|
[メインメニュー]ページが表示されます。 |
|
|
|
ローカルデバイス認証のユーザ情報ファイルのファイル形式 |
ユーザ情報のインポートやエクスポートをする場合には、次の3つのファイル形式を選択することができます。
|
おことわり |
|
|
|||||
SDL フォーマット |
ローカルデバイス認証で使用するフォーマットで、ファイル形式としてLDIFが採用されています。拡張子はldifです。LDIF(LDAP Data Interchange Format)はLDAPディレクトリサーバ間でディレクトリ情報を転送する際などに利用されています。 LDIFファイルの各レコードは1つ以上の空行で分けられます。1つのレコードは空行を含まない複数行から構成されます。1つのレコードは、省略可能なID の行と複数のエントリーによって構成されます。各エントリーは、属性名と属性値がコロン":"によって分けられてます。コロンの後がスペースだけであれば、そのエントリは無視されます。ただし、1つのエントリーが改行コードとスペース1個によって分断される場合は、改行コードとスペース1個は無視されます。それに続く文字はスペースであっても無視せずに前の行と連結したものとして扱われます。改行コードはCR LFかLFのみのいずれでも可能です。しかし、コロンの前までは改行は許されません。#で始まる行は無視されます。 文字コードはUTF-8を用います。 例:
|
属性名 | 省略 | 省略時の自動設定値 | SSO-Hでの項目名 | 内容 | |
dn | 不可 | - | ユーザ名 | "uid="ログインユーザ名("uid="は省略できます)。1~半角32文字(全角16文字)までの任意の文字列(ただし、半角スペース、以下の半角記号(¥ / : * ? l < > [ ] ;, = + @ ")は使用できません) | |
userPassword | 可 | - | パスワード(ユーザ名に対応する) | 暗号化する場合:属性値は"{sdl}"で始めます。エクスポートで暗号化された値を使用してください。 暗号化しない場合:空白または任意の半角文字列。32文字まで有効です。 |
|
canonUid | 可 | - | 部門ID | 1~7桁までの半角数字 | |
canonPwd | 可 | - | パスワード(部門IDに対応する) | 空白または7桁までの半角数字 | |
cn | 可 | [null] | 表示名 | 空白または任意の文字列。半角32文字(全角16文字)まで有効です。 | |
cn;lang-ja;phonetic | 可 | [null] | 読み | 空白または任意の文字列。半角32文字(全角16文字)まで有効です。 | |
可 | [null] | 電子メールアドレス | 空白または256文字までの半角英数字・英記号。電子メールアドレスのフォーマットチェックは行いません。 | ||
objectClass | 可 | [null] | "top" | "top"(固定) | |
objectClass | 不可 | 無制限 | "person" | "person"(固定) |
注: | ||
1) | 属性名の記述順序は自由です。また、不要な属性名は省略できます。 | |
2) | ユーザタイプは入力フォーマットに含まれません。インポート後、必要に応じて「管理者」に編集してください。 |
|
属性名 | [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 | 内容 | |
dn | ユーザ名 | ログインユーザ名 | |
userPassword | パスワード(ユーザ名に対応する) | 属性値は"{sdl}"で始まり、パスワードは暗号化されています。 | |
canonUid | 部門ID | 部門ID | |
canonPwd | パスワード(部門IDに対応する) | 暗号化されません。数字が桁数不足の場合は先頭に0が埋められます。 | |
cn | 表示名 | 表示名 | |
cn;lang-ja;phonetic | 読み | 読み | |
電子メールアドレス | 電子メールアドレス | ||
objectClass | - | "top"(固定) | |
objectClass | - | "person"(固定) |
注: | ユーザタイプは出力されません。 |
NSA 3.xフォーマット |
NetSpot Accountant 3.xフォーマットとは、NetSpot Accountant 3.xで使用されているユーザ情報のファイル形式です。文字コードはWindows Japanease(CP932)またはシフトJISを用います。 |
|
項番 | 項目名*1 | [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 | |
1 | 親部門ID | - | |
2 | アカウント種別 | - | |
3 | アカウントID | ユーザ名*2、部門ID | |
4 | アカウント名称 | 表示名 | |
5 | パスワード | パスワード | |
6 | 電子メールアドレス | 電子メールアドレス | |
7 | ログイン名 | ユーザ名*3 | |
8 | ドメイン名 | - | |
9-10 | 印刷上限値 | - | |
11 | カードID | - |
|
項番 | [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 | 項目名*1 | 内容 | |
1 | - | 親部門ID | 常に[0] | |
2 | - | アカウント種別 | 常に[1](ユーザ) | |
3 | 部門ID | アカウントID | ![]() |
|
4 | 表示名 | 表示名 | ![]() |
|
5 | パスワード | パスワード | 常にNULL | |
6 | 電子メールアドレス | 電子メールアドレス | ![]() |
|
7 | ユーザ名 | ログイン名 | ![]() |
|
8 | - | ドメイン名 | 常に" " | |
9-10 | - | 印刷上限値 | 常にNULL |
注: | ||
*1: | 項目名(NetSpot Accountant 3.0以降での項目名。CSVファイル自体に項目名は表示されません) | |
*2: | SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[ユーザID]のとき | |
*3: | SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[Windowsのユーザ名]のとき |
NSA 4.xフォーマット |
NetSpot Accountant 4.xフォーマットとは、NetSpot Accountant 4.0以降およびimageWARE Accounting Manager 5.0以降で使用されている、ユーザ情報のファイル形式です。文字コードはWindows Japanease(CP932)またはシフトJISを用います。 |
|
項番 | 項目名*1 | [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 | |
1 | 親部門ID | - | |
2 | アカウント種別 | - | |
3 | アカウントID | ユーザ名*2、部門ID | |
4 | アカウント名称 | 表示名 | |
5 | パスワード | パスワード | |
6 | 電子メールアドレス | 電子メールアドレス | |
7 | ログイン名 | ユーザ名*3 | |
8 | ドメイン名 | - | |
9-15 | 印刷上限値 | - | |
16 | カード情報 | - |
|
項番 | [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 | 項目名*1 | 内容 | |
1 | - | 親部門ID | 常に[0] | |
2 | - | アカウント種別 | 常に[1](ユーザ) | |
3 | 部門ID | アカウントID | ![]() |
|
4 | 表示名 | 表示名 | ![]() |
|
5 | パスワード | パスワード | 常にNULL | |
6 | 電子メールアドレス | 電子メールアドレス | ![]() |
|
7 | ユーザ名 | ログイン名 | ![]() |
|
8 | - | ドメイン名 | 常に" " | |
9-15 | - | 印刷上限値 | 常にNULL | |
16 | - | カード情報 | 常に"##########" |
注: | ||
*1: | 項目名(NetSpot Accountant 4.0以降およびimageWARE Accounting Manager 5.0以降での項目名。CSVファイル自体に項目名は表示されません) | |
*2: | SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[ユーザID]のとき | |
*3: | SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[Windowsのユーザ名]のとき |
エラーメッセージの原因および処置方法 |
表示されるエラーメッセージについて、想定されるトラブルの原因および処置方法を説明します。 |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
原因3 | |
処置3 | |
原因4 | |
処置4 | |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
原因3 | |
処置3 | |
![]() |
原因 | |
処置 | |
![]() |
原因 | |
処置 | |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
![]() |
原因 | |
処置 | |
![]() |
原因 | |
処置 | |
Windows Server 2003 SP1のファイアウォール設定時のトラブル |
ファイアウォール設定時に起こるトラブルについて、想定される原因および処置方法を説明します。 |
![]() |
原因 | |
処置 | |
![]() |
原因 | |
処置 | |
![]() |
原因 | |
処置 | |
その他の状況でのトラブル |
その他の状況で起こるトラブルについて、想定される原因および処置方法を説明します。 |
![]() |
原因 | |
処置 | |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
原因3 | |
処置3 | |
![]() |
原因1 | |
処置1 | |
原因2 | |
処置2 | |
原因3 | |
処置3 | |