Como configurar o Cliente de autenticação do Smart Card

Talvez sejam necessários direitos administrativos para configurar o aplicativo.

Configurando definições da tela de login

Use as configurações da tela de login para definir como deseja que os usuários façam login na impressora.

  1. No Servidor da Web incorporado, navegue até a página de configuração do aplicativo:

    Aplicativos > Cliente de Autenticação por SmartCard > Configurar

  2. Na seção Tela de Login, selecione o tipo de login.

  3. No menu Modo de Validação de Usuário, selecione o método para validar certificados do usuário.

    • Active Directory—O certificado de usuário no SmartCard é validado utilizando a autenticação do Kerberos. Essa configuração pode exigir pesquisas de LDAP.

    • Active Directory com acesso de convidado—Os usuários que possuem SmartCards mas não estão no Active Directory podem acessar algumas das funções da impressora. Um servidor de Protocolo de Status de Certificados On-line (OCSP) devidamente configurado é necessário. Caso a autenticação de Active Directory falhe, o aplicativo consultará o servidor OCSP.

    • Somente Pin—Os usuários podem acessar somente aplicativos ou funções que não exigem autenticação do Kerberos.

  4. No menu Validar SmartCard, selecione o método para autenticar os usuários após utilizar um SmartCard.

  5. Se necessário, permita que os usuários alterem o método de login.

  6. Clique em Aplicar.

Configurando definições de login manual

Para login manual, a impressora usa o domínio padrão especificado no arquivo de configuração do Kerberos. Se você usar um domínio diferente, especifique o nome do domínio nas configurações de login manual.

  1. No Servidor da Web incorporado, navegue até a página de configuração do aplicativo:

    Aplicativos > Cliente de Autenticação por SmartCard > Configurar

  2. Na seção Configuração de Login Manual, no campo Domínios de Login Manual, insira um ou mais domínios.

  3. Clique em Aplicar.

Configuração das definições de SmartCard

Nota: Verifique se a conexão de rede entre a impressora e o servidor de autenticação está corretamente configurada. Para obter mais informações, entre em contato com o administrador do sistema.

  1. No Servidor da Web incorporado, navegue até a página de configuração do aplicativo:

    Aplicativos > Cliente de Autenticação por SmartCard > Configurar

  2. Na seção Configuração do SmartCard, no menu Informações do Kerberos, selecione uma das opções seguintes:

    • Usar arquivo de configuração do Kerberos do dispositivo—Um arquivo de configuração do Kerberos deve ser instalado na impressora manualmente. Faça o seguinte:

      1. No Embedded Web Server, clique em Configurações > Segurança > Métodos de login.

      2. Na seção Contas de rede, clique em Adicionar método de login > Kerberos.

      3. Na seção Importar Arquivo do Kerberos, navegue até o arquivo krb5.conf adequado.

      4. Caso sua rede não utilize a opção de pesquisa inversa de DNS, na seção Configurações Variadas, selecione Desativar Pesquisas de IP Inversas.

      5. Clique em Salvar e Verificar.

    • Usar configuração do Kerberos simples—Um arquivo do Kerberos é criado na impressora automaticamente. Especifique o seguinte:

      • Realm—O realm deve ser digitado em letras maiúsculas.

      • Controlador do Domínio—Use vírgulas para separar vários valores. Os controladores de domínio são validados na ordem listada.

      • Domínio—Especifique o domínio que deve ser mapeado para o realm do Kerberos especificado no campo Realm. Use vírgulas para separar vários domínios.

        Nota: O domínio diferencia maiúsculas e minúsculas.

      • Tempo limite—Insira um valor de 3 a 30 segundos.

  3. No menu Validação do Controlador de Domínio, selecione o método para validação do certificado do controlador de domínio.

    Nota: Antes de configurar essa definição, verifique se os certificados apropriados estão instalados na impressora. Para obter mais informações, consulte Instalação manual de certificados.

    • Usar validação de certificado do dispositivo—O certificado CA instalado na impressora é usado.

    • Usar validação de cadeia do dispositivo—Toda a cadeia de certificados instalados na impressora é usada.

    • Usar validação de OCSP—O servidor OCSP é usado. A cadeia inteira do certificado deve estar instalada na impressora. Na seção Protocolo de Status de Certificados On-line (OCSP), configure o seguinte:

      • URL de Resposta—O endereço IP ou nome do host do mecanismo de resposta/repetição OCSP e o número da porta usada. Use vírgulas para separar vários valores.

        Por exemplo, http://x:y, onde x é o endereço IP ou nome do host e y é o número da porta.

      • Certificado de Resposta—O certificado X.509 é usado.

      • Tempo Limite de Resposta—Digite um valor de 5 a 30 segundos.

      • Permitir Status Desconhecido—Os usuários podem fazer login mesmo quando o status de um ou mais certificados é desconhecido.

  4. Clique em Aplicar.

Configuração de definições avançadas

  1. No Servidor da Web incorporado, navegue até a página de configuração do aplicativo:

    Aplicativos > Cliente de Autenticação por SmartCard > Configurar

  2. Na seção Configurações Avançadas, selecione um ID do usuário de sessão.

    Nota: Alguns aplicativos, como Trabalhos Seguros Retidos e E-mail Seguro, exigem um valor para o ID do usuário da sessão.

  3. No menu Endereço de E-mail "De", selecione onde a impressora recupera o endereço de e-mail do usuário.

  4. Se necessário, selecione Aguardar informações do usuário para obter todas as informações do usuário antes que este possa acessar a tela inicial ou um aplicativo seguro.

    Caso as configurações seguintes estejam definidas para Pesquisa de LDAP, selecione essa opção.

    • ID do Usuário de Sessão

    • Endereço de E-mail "De"

    Caso as configurações seguintes não estejam vazias, selecione essa opção.

    • Outros os Atributos do Usuário

    • Lista de Autorização de Grupo

    Nota: Caso esteja usando login manual para E-mail Seguro, marque esta opção para armazenar o endereço de e-mail do usuário na sessão de login. Para permitir que usuários de login manual enviem e-mails para si mesmos, ative "Enviar-me uma cópia" nas configurações de e-mail da impressora.

  5. Se necessário, selecione Usar SSL para Informações do Usuário para recuperar as informações de usuário do controlador do domínio utilizando uma conexão SSL.

  6. Se necessário, no campo Outros Atributos do Usuário, insira outros atributos de LDAP que precisem ser adicionados à sessão. Use vírgulas para separar vários valores.

  7. Na Lista de Autorização de Grupo, insira os grupos do Active Directory que podem acessar aplicativos ou funções. Use vírgulas para separar vários valores.

    Nota: Os grupos devem estar no servidor LDAP.

  8. Se DNS não estiver ativado em sua rede, carregue um arquivo de hosts.

    Digite os mapeamentos no arquivo de texto no formato xy, onde x é o endereço IP e y é o nome do host. Você pode atribuir vários nomes de host a um endereço IP. Por exemplo, 255.255.255.255 Nomedohost1 Nomedohost2 Nomedohost3.

    Não é possível atribuir vários endereços IP a um nome de host. Para atribuir endereços IP a grupos de nomes de host, digite cada endereço IP e os nomes de host associados em uma linha separada do arquivo de texto.

    Por exemplo:

    123.123.123.123 Nomedohost1 Nomedohost2

    456.456.456.456 Nomedohost3

  9. Clique em Aplicar.