Konfigurieren des Smartcard-Authentifizierungsclients

Zur Konfiguration der Anwendung benötigen Sie möglicherweise Administratorrechte.

Konfigurieren der Einstellungen für den Anmeldebildschirm

Verwenden Sie die Einstellungen für den Anmeldebildschirm, um festzulegen, wie sich Benutzer am Drucker anmelden sollen.

  1. Navigieren Sie über den Embedded Web Server zur Konfigurationsseite der Anwendung:

    Apps > Smart Card Authentication Client > Konfigurieren

  2. Wählen Sie im Abschnitt "Anmeldebildschirm" die Anmeldemethode aus.

  3. Wählen Sie im Menü "Benutzervalidierungsmodus" die Methode zur Überprüfung von Benutzerzertifikaten aus.

    • Active Directory: Das Benutzerzertifikat auf der Smartcard wird mit Kerberos-Authentifizierung validiert. Diese Einstellung erfordert eventuell LDAP-Suchen.

    • Active Directory mit Gastzugriff: Benutzer, die über Smartcards verfügen, aber nicht im Active Directory verzeichnet sind, können auf einige der Druckerfunktionen zugreifen. Ein korrekt konfiguriertes Online Certificate Status Protocol (OCSP)-Server ist erforderlich. Wenn die Active Directory-Authentifizierung fehlschlägt, versucht die Anwendung, die Daten beim OCSP Server abzurufen.

    • Nur mit Pin: Benutzer erhalten nur Zugriff auf Anwendungen oder Funktionen, die keine Kerberos-Authentifizierung erfordern.

  4. Wählen Sie im Menü "Smartcard validieren" die Methode für die Authentifizierung von Benutzern nach Nutzung einer Smartcard.

  5. Erlauben Sie den Benutzern gegebenenfalls, die Anmeldemethode zu ändern.

  6. Klicken Sie auf Übernehmen.

Konfigurieren der Einstellungen für die manuelle Anmeldung

Der Drucker verwendet für die manuelle Anmeldung die in der Kerberos-Konfigurationsdatei hinterlegte Standard-Domäne. Wenn Sie eine andere Domäne nutzen, müssen Sie den Domänennamen in den Einstellungen für die manuelle Anmeldung angeben.

  1. Navigieren Sie über den Embedded Web Server zur Konfigurationsseite der Anwendung:

    Apps > Smart Card Authentication Client > Konfigurieren

  2. Geben Sie im Abschnitt "Einrichtung für manuelle Anmeldung" im Feld "Domänen für manuelle Anmeldung" eine oder mehrere Domänen ein.

  3. Klicken Sie auf Übernehmen.

Konfigurieren der Smartcard-Einstellungen

Hinweis: Stellen Sie sicher, dass die Netzwerkverbindung zwischen Drucker und Authentifizierungsserver richtig konfiguriert ist. Weitere Informationen erhalten Sie beim Systemadministrator.

  1. Navigieren Sie über den Embedded Web Server zur Konfigurationsseite der Anwendung:

    Apps > Smart Card Authentication Client > Konfigurieren

  2. Führen Sie im Menü "Kerberos-Informationen" im Abschnitt "Smartcard-Setup" einen der folgenden Schritte aus:

    • Kerberos-Konfigurationsdatei des Geräts verwenden: Eine Kerberos-Konfigurationsdatei muss manuell auf dem Drucker installiert werden. Gehen Sie folgendermaßen vor:

      1. Klicken Sie im Embedded Web Server auf Einstellungen > Sicherheit > Anmeldemethoden.

      2. Klicken Sie im Abschnitt "Netzwerkkonten" auf Anmeldemethode hinzufügen > Kerberos.

      3. Gehen Sie vom Abschnitt "Kerberos-Datei importieren" aus zur entsprechenden Datei "krb5.conf".

      4. Wenn Ihr Netzwerk kein Reverse DNS Lookup verwendet, wählen Sie im Abschnitt "Verschiedene Einstellungen" die Option Reverse IP Lookups deaktivieren.

      5. Klicken Sie auf Speichern und überprüfen.

    • Einfaches Kerberos-Setup verwenden: Auf dem Drucker wird automatisch eine Kerberos-Datei erzeugt. Geben Sie Folgendes an:

      • Bereich: Der Bereich muss in Großbuchstaben eingegeben werden.

      • Domänencontroller: Trennen Sie mehrere Werte durch ein Komma. Die Domänencontroller werden in der aufgeführten Reihenfolge validiert.

      • Domäne: Geben Sie die Domäne an, die dem im Feld "Bereich" angegebenen Kerberos-Bereich zugeordnet werden soll. Trennen Sie mehrere Domänen durch ein Komma.

        Hinweis: Bei der Eingabe der Domäne muss die Groß- /Kleinschreibung beachtet werden.

      • Zeitsperre: Geben Sie einen Wert zwischen 3 und 30 Sekunden ein.

  3. Wählen Sie im Menü "Domänencontrollerüberprüfung" die Methode zur Überprüfung des Domänencontrollerzertifikats aus.

    Hinweis: Bevor Sie diese Einstellung konfigurieren, müssen Sie sicherstellen, dass die entsprechenden Zertifikate auf dem Drucker installiert sind. Weitere Informationen finden Sie unter Manuelles Installieren von Zertifikaten.

    • Überprüfung des Gerätezertifikats verwenden: Das auf dem Drucker installierte CA-Zertifikat wird verwendet.

    • Überprüfung der Gerätekette verwenden: Die gesamte auf dem Drucker installierte Zertifikatskette wird verwendet.

    • OCSP-Überprüfung verwenden: Der OCSP Server wird verwendet. Die gesamte Zertifikatkette muss auf dem Drucker installiert sein. Konfigurieren Sie im Abschnitt "Online Zertifikat Status Protocol (OCSP)" Folgendes:

      • Responder-URL: Die IP-Adresse oder der Hostname des OCSP-Responders/-Repeaters und die verwendete Port-Nummer. Trennen Sie mehrere Werte durch ein Komma.

        Zum Beispiel http://x:y, wobei x die IP-Adresse oder der Hostname und y die Port-Nummer ist.

      • Responder-Zertifikat: Das Zertifikat X.509 wird verwendet.

      • Responder-Zeitsperre: Geben Sie einen Wert zwischen 5 und 30 Sekunden ein.

      • Unbekannten Status zulassen: Benutzer können sich auch dann anmelden, wenn der Status eines oder mehrerer Zertifikate unbekannt ist.

  4. Klicken Sie auf Übernehmen.

Konfigurieren erweiterter Einstellungen

  1. Navigieren Sie über den Embedded Web Server zur Konfigurationsseite der Anwendung:

    Apps > Smart Card Authentication Client > Konfigurieren

  2. Wählen Sie im Bereich "Erweiterte Einstellungen" eine Benutzer-ID für diese Sitzung aus.

    Hinweis: Einige Anwendungen, wie z. B. "Sichere zurückgehaltene Druckaufträge" und "Sichere E-Mail", erfordern einen Wert für die Benutzer-ID der Sitzung.

  3. Im Menü "Absenderadresse der E-Mail" wählen Sie aus, wo der Drucker die Benutzer-E-Mail-Adresse abrufen soll.

  4. Wählen Sie bei Bedarf Auf Benutzerinformationen warten aus, um alle Benutzerinformationen abzurufen, bevor der Benutzer die Erlaubnis erhält, auf den Startbildschirm oder eine sichere Anwendung zuzugreifen.

    Wenn die folgenden Einstellungen auf "LDAP-Suche" eingestellt sind, wählen Sie diese Option aus.

    • Benutzer-ID für Sitzung

    • Absenderadresse der E-Mail

    Wenn die folgenden Einstellungen nicht leer sind, wählen Sie diese Option aus.

    • Andere Benutzerattribute

    • Gruppenautorisierungsliste

    Hinweis: Bei Verwendung der manuellen Anmeldung für "Sichere E-Mail" wählen Sie diese Option aus, um die Benutzer-E-Mail-Adresse in der Anmeldesitzung zu hinterlegen. Damit Benutzer, die sich manuell anmelden, E-Mails an sich selbst senden können, aktivieren Sie "Kopie an mich" in den E-Mail-Einstellungen des Druckers.

  5. Wählen Sie ggf. SSL für Benutzerinfo verwenden, um Benutzerinformationen vom Domänencontroller über eine SSL-Verbindung abzurufen.

  6. Geben Sie ggf. im Feld "Andere Benutzerattribute" weitere LDAP-Attribute ein, die der Sitzung hinzugefügt werden müssen. Trennen Sie mehrere Werte durch ein Komma.

  7. Geben Sie in der Gruppenautorisierungsliste die Active Directory-Gruppen ein, die auf Anwendungen oder Funktionen zugreifen dürfen. Trennen Sie mehrere Werte durch ein Komma.

    Hinweis: Die Gruppen müssen auf dem LDAP-Server hinterlegt sein.

  8. Wenn DNS in Ihrem Netzwerk nicht aktiviert ist, laden Sie eine "hosts"-Datei hoch.

    Geben Sie die Zuordnungen im folgenden Format in die Textdatei ein: xy, wobei x die IP-Adresse und y der Hostname ist. Sie können einer IP-Adresse mehrere Hostnamen zuweisen. Beispiel: 255.255.255.255.0.0 HostName1 HostName2 HostName3.

    Einem Hostnamen können nicht mehrere IP-Adressen zugewiesen werden. Um Hostnamensgruppen IP-Adressen zuzuweisen, geben Sie jede IP-Adresse und die zugehörigen Hostnamen in eine separate Zeile der Textdatei ein.

    Beispiel:

    123.123.123.123 HostName1 HostName2

    456.456.456.456 HostName3

  9. Klicken Sie auf Übernehmen.