%20MFCs%20mit%20Google%20Secure%20LDAP.png)
HP Enterprise MFCs mit FutureSmart Firmware 3/4/5 unterstützen die Verbindung mit einem LDAP-Server, um E-Mail-Adressen für das Adressbuch abzurufen (sowie die Druckerbenutzeranmeldung usw.).
Google unterstützt Secure LDAP mit Client-Zertifikatauthentifizierung. Die Benutzername-/Passwortauthentifizierung ist optional, der Client muss jedoch ein Zertifikat verwenden.
FutureSmart 5 scheint keine Möglichkeit zu haben, die Zertifikatsauthentifizierung in den LDAP-Einstellungen festzulegen, verfügt aber über eine allgemeine Zertifikatsverwaltungskonsole.
Weiß jemand, wie man einen HP-Drucker direkt mit Google LDAP verbindet?
Andernfalls muss ich anscheinend einen OpenLDAP-Server als Proxy einrichten, um die Authentifizierung zu übersetzen.
Antwort1
Haben Sie das überhaupt zum Laufen gebracht?
Google schlägt die Verwendung eines Stunnels vor, der auf dem gleichen Prinzip wie Ihr OpenLDAP basiert.
https://support.google.com/a/answer/9089736?hl=en#basic-instructions
Optional: Verwenden Sie Stunnel als Proxy. Verwenden Sie Stunnel als Proxy für Clients, die keine Möglichkeit zur Authentifizierung bei LDAP mit einem Client-Zertifikat bieten.
Konfigurieren Sie stunnel so, dass das Client-Zertifikat dem LDAP-Server bereitgestellt wird, und konfigurieren Sie Ihren Client für die Verbindung mit stunnel. Idealerweise führen Sie stunnel auf demselben Server (bzw. denselben Servern) aus wie Ihre Anwendung und hören nur lokal zu, damit Ihr LDAP-Verzeichnis nicht über diesen Server hinaus zugänglich ist.
Folge diesen Schritten:
Installieren Sie stunnel. Beispielsweise unter Ubuntu:
$ sudo apt-get install stunnel4
Erstellen Sie eine Konfigurationsdatei /etc/stunnel/google-ldap.conf mit dem folgenden Inhalt (vorausgesetzt, ldap-client.crt ist das Zertifikat und ldap-client.key der Schlüssel):
[ldap]
client = yes
accept = 127.0.0.1:1636
connect = ldap.google.com:636
cert = ldap-client.crt
key = ldap-client.key
Um Stunnel zu aktivieren, bearbeiten /etc/default/stunnel4und festlegen ENABLED=1. Starten Sie Stunnel neu.
$ sudo /etc/init.d/stunnel4 restart
Konfigurieren Sie Ihre Anwendung so, dass sie auf verweist ldap://127.0.0.1:1636.
Sie können „1636“ durch einen beliebigen ungenutzten Port ersetzen, wenn Sie auch die Accept-Zeile in der obigen Konfigurationsdatei ändern. Sie müssen Klartext-LDAP ohne aktiviertes StartTLS/SSL/TLS zwischen dem Client und Stunnel verwenden, da diese lokal kommunizieren. Hinweis: Wenn Sie Stunnel auf einem separaten Server ausführen möchten, müssen Sie Ihre Firewalls so konfigurieren, dass nur die erforderlichen Anwendungen auf Ihren Stunnel-Server zugreifen können. Sie können Stunnel auch so konfigurieren, dass es mit TLS lauscht, sodass Daten zwischen Ihrer Anwendung und den Stunnel-Servern verschlüsselt werden. Die Details dieser beiden Konfigurationen hängen von Ihrer Umgebung ab.