Вопрос или проблема
МФУ HP Enterprise, работающие на прошивке FutureSmart 3/4/5, поддерживают подключение к серверу LDAP для получения адресов электронной почты для адресной книги (а также для входа пользователей принтера и т.д.).
Google поддерживает безопасный LDAP с аутентификацией клиентского сертификата. Аутентификация по имени пользователя/паролю является необязательной, но клиент должен использовать сертификат.
FutureSmart 5, кажется, не имеет возможности настройки аутентификации сертификата в настройках LDAP, но имеет общую консоль управления сертификатами.
Кто-нибудь знает, как подключить принтер HP напрямую к Google LDAP?
В противном случае, похоже, мне придется настроить сервер OpenLDAP, работающий как Proxy, для перевода аутентификации?
Вам удалось это сделать?
Google предлагает использовать Stunnel, что соответствует вашей идее с openLDAP.
https://support.google.com/a/answer/9089736?hl=en#basic-instructions
Дополнительно: Используйте stunnel как прокси
Для клиентов, которые не предлагают способ аутентификации в LDAP с клиентским сертификатом, используйте stunnel как прокси.
Настройте stunnel для предоставления клиентского сертификата серверу LDAP и настройте ваш клиент для подключения к stunnel. В идеале вы должны запускать stunnel на тех же серверах, что и ваше приложение, и слушать только локально, чтобы не выставлять ваш каталог LDAP за пределы этого сервера.
Выполните следующие шаги:
Установите stunnel. Например, на Ubuntu:
$ sudo apt-get install stunnel4
Создайте файл конфигурации /etc/stunnel/google-ldap.conf со следующим содержанием (предполагается, что ldap-client.crt это сертификат, а ldap-client.key это ключ):
[ldap]
client = yes
accept = 127.0.0.1:1636
connect = ldap.google.com:636
cert = ldap-client.crt
key = ldap-client.key
Чтобы включить stunnel, отредактируйте /etc/default/stunnel4 и установите ENABLED=1. Перезапустите stunnel.
$ sudo /etc/init.d/stunnel4 restart
Настройте ваше приложение на указание ldap://127.0.0.1:1636.
Вы можете заменить “1636” на любой неиспользуемый порт, если также измените строку accept в конфигурационном файле выше. Между клиентом и stunnel вы должны использовать нешифрованный LDAP без StartTLS/SSL/TLS, так как они общаются локально. Примечание: если вы решите запустить stunnel на отдельном сервере, вы должны настроить свои межсетевые экраны так, чтобы только необходимые приложения могли получить доступ к вашему серверу stunnel. Вы также можете настроить stunnel на прослушивание с использованием TLS, чтобы данные между вашим приложением и серверами stunnel были зашифрованы. Подробности обеих этих конфигураций зависят от вашей среды.
Ответ или решение
Подключение HP (Enterprise) MFC к Google Secure LDAP может быть непростой задачей, особенно учитывая особенности аутентификации, поддерживаемой обеими системами. В данном контексте, принтеры HP Enterprise с прошивкой FutureSmart 3/4/5 поддерживают подключение к LDAP-серверам с целью извлечения email-адресов для адресной книги, а также для авторизации пользователей. В свою очередь, Google предлагает Secure LDAP с аутентификацией через клиентский сертификат, требуя наличия сертификата от клиента, хотя аутентификация с помощью имени пользователя и пароля является необязательной.
Теоретическая основа
С точки зрения теории, подключение устройства к LDAP позволяет интегрировать его с системой управления доступом и идентификациями (IAM), улучшая безопасность путём централизованного управления учётными записями и правами доступа. Secure LDAP от Google значительно усиливает безопасность, используя шифрование данных с TLS, а также аутентификацию с клиентским сертификатом. Однако ограниченная функциональность настроек LDAP в прошивке HP FutureSmart 5 не позволяет напрямую настроить аутентификацию через сертификат.
Пример использования Stunnel
Чтобы обойти проблему отсутствия поддержки клиентских сертификатов в настройках LDAP на принтерах HP, Google предлагает использовать Stunnel — программное обеспечение, которое может создавать защищенные туннели через SSL, применяемые в качестве прокси между клиентом и сервером. Это позволяет приложениям, не поддерживающим шифрование данных, безопасно взаимодействовать с сетями.
Шаги по настройке Stunnel:
-
Установка Stunnel:
Установите Stunnel на сервер, например, с использованием команды на Ubuntu:sudo apt-get install stunnel4 -
Создание конфигурационного файла:
Создайте файл конфигурации/etc/stunnel/google-ldap.confсо следующим содержимым:[ldap] client = yes accept = 127.0.0.1:1636 connect = ldap.google.com:636 cert = ldap-client.crt key = ldap-client.key -
Активация и перезапуск Stunnel:
Чтобы включить Stunnel, отредактируйте файл/etc/default/stunnel4, установивENABLED=1. Затем перезапустите сервис:sudo /etc/init.d/stunnel4 restart -
Настройка приложения:
Укажите вашему приложению или устройству (в данном случае принтеру) использоватьldap://127.0.0.1:1636в качестве адреса LDAP сервера. Между клиентом и Stunnel необходимо использовать обычный LDAP без StartTLS/SSL/TLS, поскольку связь будет осуществляться локально.
Применение на практике
Эти шаги могут быть полезны для ИТ-специалистов, стремящихся интегрировать корпоративные решения с облачными сервисами для повышения производительности и безопасности. Запуск Stunnel на том же сервере, что и приложение, позволяет минимизировать риск экспозиции данных, ограничивая передачу только локальным сервером.
Замечание: В случае развертывания Stunnel на отдельном сервере необходимо убедиться, что все межсерверные взаимодействия должным образом защищены и контролируются через настройки сетевого экранирования. Это включает в себя обеспечение шифрования между Stunnel и приложением (TLS).
В заключение, используя Stunnel для интерпретации и преобразования аутентификационных запросов между принтерами HP и сервером LDAP Google, можно добиться высокого уровня безопасности и функциональности, даже при ограниченных опциях конфигурации самих устройств. Настройка таких интеграций требует внимательного подхода и точного соблюдения всех мер безопасности, чтобы защитить данные и ресурсы компании от несанкционированного доступа.