创建或编辑设备口令（高级）

MarkVision Professional 允许管理员在每一个支持的设备上设置合共最多 250 个用户级别和管理员级别的口令。每一个口令必须在 8 至 128 个 UTF-8 字符之间，并且必须用唯一的名称标识（例如：“IT Manager's Password”）。唯一的名称应该在 1 至 128 个 UTF-8 字符之间。

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - 口令。

2. 选择一个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 为设备添加或编辑口令：

   • 单击添加来创建新的设备口令。

   • 从列表中选择一个口令并单击编辑来编辑现有的设备口令。

   注意：

   • 选择管理员口令框来创建管理员级别的口令。如果活动被管理员级别口令保护，那么只有该口令将获准访问活动。管理员级别的口令也覆盖任何正常的口令。如果活动被正常口令保护，那么任何管理员级别的口令也将获准访问。
   • 要删除口令，请从列表中选择一个口令，然后单击删除。单击全部删除将删除列表中的所有口令，而不管它们是否被选中。

创建 PIN 码

典型地，个人身份识别码（PIN）被用于控制对特定设备菜单或设备自身的访问。然而，在某些设备上，MarkVision Professional 允许管理员创建合共 250 个用户级别和管理员级别的 PIN 码，用于控制特定活动，如扫描或复印。这些 PIN 码以后能被用于创建控制特定功能访问的安全模板。

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - PIN 码。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 单击添加。

4. 在“名称”框中键入 PIN 码配置的名称。每个 PIN 码必须有唯一的名称，由 1-128 个 UTF-8 字符组成（例如：“Copy Lockout PIN”）。

5. 在适当的框中键入四位数字的 PIN 码，然后再次输入 PIN 码以确认。

   注意： 当两个 PIN 码数字相同时，指示灯将变为绿色。当 PIN 码数字不相同时，指示灯将保持红色。

6. 如果 PIN 码将作为管理员 PIN 码使用，请选择管理员 PIN 码。

   注意： 如果活动受特定的“管理员 PIN 码”保护，那么只有该 PIN 码将获准访问它。

7. 单击确定。

管理多个 PIN 码设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - PIN 码。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意：

   • 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。
   • 要将设置应用到多个设备，请使用 MVP 中的“设备策略”任务。请参阅 MVP 用户指南来获得有关使用“设备策略”的更多信息。

3. 从列表中选择一个 PIN 码设置并单击编辑。

4. 根据需要编辑名称或 PIN 码，然后单击确定。

   注意： 当两个 PIN 码数字相同时，指示灯将变为绿色。当 PIN 码数字不相同时，指示灯将保持红色。

5. 要删除 PIN 码设置，请从列表中选择它并单击删除。

   注意： 单击全部删除将删除所有当前已保存的 PIN 码设置。

使用内部帐户

MVP 管理员可以为每一个支持的设备配置一个内部帐户组建模块。每一个内部帐户可以包括最多 32 个用户组和 250 个用户帐户。只有在定义了每一个用户的组成员之后，内部帐户组建模块才能在安全模板中使用。

每一个使用内部帐户组建模块的安全模板必须定义能够访问由模板保护的功能的用户组。任何用户，只要是包括在安全模板中的组的成员，就能够访问由该安全模板控制的任何功能。

定义用户组

在为 MVP 中的设备创建新的内部帐户之前，管理员应该首先定义至少一个用户组。要定义用户组：

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - 内部帐户。

2. 选择一个设备。

3. 单击设置组。

4. 为最多 32 个用户组输入名称。

   注意： 组名的长度限制为 128 个字符。

创建内部帐户

要创建内部帐户：

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - 内部帐户。

2. 选择一个设备。

3. 单击添加。

   将信息输入必要的字段中（必需的字段使用斜体字）：

   • 帐户名-键入用户的帐户名（例如：“Jack Smith”）。您可以使用最多 128 个 UTF-8 字符。

   • 用户 ID-键入帐户的 ID（例如：“jsmith”）。您可以使用最多 128 个 UTF-8 字符。

   • 口令-键入 8 到 128 个字符之间的口令。

   • 再次输入口令-键入在上面字段中曾输入的口令。当两个口令相同时，指示灯将变为绿色。如果口令不匹配，指示灯将保持红色。

   • 电子邮件-键入用户的电子邮件地址（例如：“jsmith@markvision.com”）。

   • 组-选择帐户所属的组。按住 Ctrl 键来为帐户选择多个组。

4. 单击确定。

   注意： 在应用之前单击重置将取消所有更改。

为内部帐户指定设置

在“内部帐户设置”部分中选择的设置将决定管理员在创建新的内部帐号时必须提交的信息，以及用户在验证时必须提交的信息。

• 要求口令-选择此框来使口令成为在创建新的内部帐户时必需的字段。

• 要求电子邮件地址-选择此框来使电子邮件地址成为在创建新的内部帐户时必需的字段。

• 必需的用户凭证-选择用户 ID 或用户 ID 和口令来指定用户在验证时必须提交的信息。

使用 Kerberos 验证（高级）

MVP 管理员在一个支持的设备上只能保存一个 Kerberos 配置文件（krb5.conf）。然而，krb5.conf 文件可以应用到多个域和 Kerberos 域控制器（KDC）。因此，管理员必须预先考虑到 Kerberos 服务器可能接收的所有不同类型的验证请求，然后配置 krb5.conf 文件来处理所有的某一类请求。

注意：

• 因为只有一个 krb5.conf 文件被使用，所以上载或重新提交简单的 Kerberos 文件将改写配置文件。
• krb5.conf 文件可以指定默认域。然而，如果没有在配置文件中指定域，则指定的第一个域将被作为验证的默认域使用。

创建简单的 Kerberos 配置文件

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - Kerberos（高级）。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 在“KDC 地址”字段中键入 KDC（Kerberos 域控制器）地址。

4. 在“KDC 端口”字段中键入 Kerberos 服务器使用的端口号。

   注意： UDP 88 是默认的 Kerberos 服务端口。

5. 在域字段中键入 Kerberos 服务器使用的域

6. 单击应用来在选定设备上将信息保存为 krb5.conf 文件，或单击撤销来重置字段并再次开始。

上载 Kerberos 配置文件

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - Kerberos（高级）。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 单击浏览来查找 krb5.conf 文件，然后单击添加。

4. 单击应用来将 krb5.conf 文件上载到选定设备，或单击撤销来重置字段并搜索新的配置文件。

   注意：

   • 单击删除来从选定的设备删除 Kerberos 配置文件。
   • 单击查看来查看选定设备的 Kerberos 配置文件。
   • 单击测试设置来检验选定设备的 Kerberos 配置文件是否正常工作。

配置 LDAP 设置（高级）

轻量级目录访问协议（LDAP）是基于标准、跨平台、可扩展的协议，它直接在 TCP/IP 的顶层运行，并被用于访问被称为“目录”的专用数据库。它的长处在于它能够与许多不同种类的数据库进行互动，使它比许多其他的验证方法更具灵活性。

注意：

• MVP 允许管理员在一个支持的设备上保存最多 5 个唯一的 LDAP 配置。每个配置必须有唯一的名称。
• 管理员可以创建最多 32 个用户定义的组，应用到每一个唯一的 LDAP 配置。
• 如果 LDAP 组建模块正在被作为安全模板的一部分使用，它将不能被删除。

要添加新的 LDAP 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 单击添加。

4. 在“LDAP 配置”对话中输入适当的信息：

   • 设置名-此名称将在创建安全模板时被用于识别每一个特定的 LDAP 服务器设置。

   • 服务器地址-输入将执行验证的 LDAP 目录服务器的 IP 地址或主机名。

   • 服务器端口-本地计算机用于与 LDAP 目录服务器通信的端口。默认的 LDAP 端口是 389。

   • 使用 SSL/TLS-选择 SSL（安全套接层协议）、TLS（传输层安全协议），或无。

   • 用户 ID 属性-输入唯一识别用户的属性名称。例如，键入 cn 或 userid，其中 cn 代表“常用名”。在此字段中也可以接受用户定义的属性名称。

   • 邮件属性-输入用户的电子邮件地址的属性名称。

   • 全名属性-输入用户的全名的属性名称。

     注意： “邮件属性”和“全名属性”字段仅在 MFP 上可用。

   • 搜索库-“搜索库”（有时被称为“标识名”，或“DN”）是用户帐户存在的 LDAP 目录服务器中的节点。可以输入多个搜索库，用分号隔开。

     注意：

     • “搜索库”由多个属性组成-例如 cn（常用名）、ou（组织单位）、o（组织）、c（国家）或 dc（域）-用逗号分隔。
     • 对于 LDAP v3 和之后版本，“搜索库”字段可以留空，尽管它将导致搜索花费相当长的时间。

   • 搜索超时-输入 5 至 30 秒之间的一个值。

   • 必需的用户输入-选择用户 ID 或用户 ID 和口令来指定当用户试图访问由 LDAP 组建模块保护的功能时必须提供的凭证。

   • 匿名 LDAP 绑定-如果选定，MVP 将以匿名方式与 LDAP 服务器绑定，“MFP 标识名”和“MFP 口令”字段将被灰掉。

   • MFP 标识名-输入打印服务器的标识名。

   • MFP 口令-输入打印服务器的口令。

     注意： 如果 LDAP 服务器不允许匿名绑定，您应该将值包括在“MFP 标识名”和“MFP 口令”字段中。设备将使用这些凭证绑定到 LDAP 服务器，这样它就可以搜索到 LDAP 目录。

   • 人员-单击来选择或清除。当选定时，“人员”对象类被用来搜索用户帐户。如果服务器使用不同的对象类，请在下面的“自定义对象类”字段中指定它们。

   • 自定义对象类-单击来选择或清除；MVP 管理员最多可以定义三个自定义搜索对象类。

     注意： 如果您不确定 LDAP 服务器使用的对象类，请在字段中键入一个星号（*）来进行对所有可用对象类的通配符搜索。

   • 配置组-MVP 管理员可以通过为组输入标识符（例如组的常用名）来限制对特定组的访问。最多可以指定 32 个组。

     注意：

     • “组”搜索库应该被首先指定（例如：ou=empgroup,dc=orange,dc=com）。
     • 组的短名可以是用户定义的（例如：“staff”）。
     • “组识别符”是组的“常用名”（cn）（例如： cn=staff）。

5. 单击确定来保存更改，或单击重置来返回到之前的值。

要编辑现有的 LDAP 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 从列表中选择一个设置。

4. 单击编辑。

5. 在“LDAP 配置”对话中作出更改。

6. 单击确定来保存更改，或单击重置来返回到之前的值。

要删除现有的 LDAP 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 从列表中选择一个设置。

4. 单击删除。

5. 单击是。

注意： 单击全部删除来删除列表中所有的 LDAP + GSSAPI 设置。

要验证现有的 LDAP 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 从列表中选择一个设置。

4. 单击测试设置。

配置 LDAP + GSSAPI 设置

一些 MVP 管理员可能更愿意使用 GSSAPI（通用安全服务应用程序编程接口）而不是简单的 LDAP 验证来验证到 LDAP 服务器，因为这样的传输始终是安全的。用户将首先使用 Kerberos 服务器进行验证以获取 Kerberos 的“入场券”，而不是直接用 LDAP 服务器验证。然后此入场券将使用 GSSAPI 协议提供给 LDAP 服务器以获取访问。

注意：

• MVP 允许管理员在一个支持的设备上保存最多 5 个唯一的 LDAP + GSSAPI 配置。每个配置必须有唯一的名称。
• 管理员可以创建最多 32 个用户定义的组，应用到每一个唯一的 LDAP + GSSAPI 配置。
• 如果 LDAP + GSSAPI 组建模块正在被作为安全模板的一部分使用，它将不能被删除。

要添加新的 LDAP + GSSAPI 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP + GSSAPI。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 单击添加。

4. 在“LDAP 配置”对话中输入适当的信息：

   • 设置名-此名称将在创建安全模板时被用于识别每一个特定的 LDAP 服务器设置。

   • 服务器地址-输入将执行验证的 LDAP 目录服务器的 IP 地址或主机名。

   • 服务器端口-本地计算机用于与 LDAP 目录服务器通信的端口。默认的 LDAP 端口是 389。

   • 使用 SSL/TLS-选择 SSL（安全套接层协议）、TLS（传输层安全协议），或无。

   • 用户 ID 属性-输入唯一识别用户的属性名称。例如，键入 cn 或 userid，其中 cn 代表“常用名”。在此字段中也可以接受用户定义的属性名称。

   • 邮件属性-输入用户的电子邮件地址的属性名称。

   • 全名属性-输入用户的全名的属性名称。

     注意： “邮件属性”和“全名属性”字段仅在 MFP 上可用。

   • 搜索库-“搜索库”（有时被称为“标识名”，或“DN”）是用户帐户存在的 LDAP 目录服务器中的节点。可以输入多个搜索库，用分号隔开。

     注意： “搜索库”由多个属性组成-例如 cn（常用名）、ou（组织单位）、o（组织）、c（国家）或 dc（域）-用逗号分隔。

   • 搜索超时-输入 5 至 30 秒之间的一个值。

   • MFP 标识名-输入打印服务器的标识名。

   • MFP 口令-输入打印服务器的口令。

   • 人员-单击来选择或清除。当选定时，“人员”对象类被用来搜索用户帐户。如果服务器使用不同的对象类，请在下面的“自定义对象类”字段中指定它们。

   • 自定义对象类-单击来选择或清除；MVP 管理员最多可以定义三个自定义搜索对象类。

     注意： 如果您不确定 LDAP 服务器使用的对象类，请在字段中键入一个星号（*）来进行对所有可用对象类的通配符搜索。

   • 配置组-MVP 管理员可以通过为组输入标识符（例如组的常用名）来限制对特定组的访问。最多可以指定 32 个组。

     注意：

     • “组”搜索库应该被首先指定（例如：ou=empgroup,dc=orange,dc=com）。
     • 组的短名可以是用户定义的（例如：“staff”）。
     • “组识别符”是组的“常用名”（cn）（例如：cn=staff）。

5. 单击确定来保存更改，或单击重置来返回到之前的值。

要编辑现有的 LDAP + GSSAPI 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP + GSSAPI。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 从列表中选择一个设置。

4. 单击编辑。

5. 在“LDAP 配置”对话中作出更改。

6. 单击确定来保存更改，或单击重置来返回到之前的值。

要删除现有的 LDAP + GSSAPI 设置

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - LDAP + GSSAPI。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 从列表中选择一个设置。

4. 单击删除。

5. 单击是。

注意： 单击全部删除来删除列表中所有的 LDAP + GSSAPI 设置。

使用 NTLM 验证

NTLM（Windows NT LAN 管理器）是 Microsoft 的解决方案，其作用是启用验证，而不要求以明文方式在网络中传送用户的口令。NTLM 服务器和客户端基于用户的口令产生并比较三个加密字符串，而不是比较用户的实际口令。

MVP 管理员在支持的设备上只能保存一个 NTLM 配置，因为每个设备只能被注册到一个 NT 域。

注意：

• 因为 NTLM 配置文件中的信息是保密的，所以 MVP 管理员必须从内嵌的 Web 服务器（EWS）页面访问和更改支持设备的全部 NTLM 配置。MVP 允许只更改用于 NTLM 服务器的默认用户域的地址。
• 使用网页的安全版本打开“内嵌的 Web 服务器”的主屏幕（通过将设备的 IP 地址键入到 Web 浏览器的地址栏，以“https://”开头），而不是不安全的浏览窗口。如果您没有使用 HTTPS 来连接到“内嵌的 Web 服务器”，您将不能注册您的设备到 NT 域。
• NTLM 组建模块只可在支持的设备注册到 NTLM 域之后在安全模板中使用。
• 如果 NTLM 组建模块正在被作为安全模板的一部分使用，它不能被删除或注销。

指定用于 NTLM 服务器的默认用户域

1. 在 MarkVision Professional 主屏幕上，从“所有任务”列表中选择安全 - NTLM。

2. 使用“快速查找”或“文件夹”选项卡选择设备。

   使用 Ctrl + 单击和 Shift + 单击来选择多个设备。

   注意： 当一个 MVP 管理的设备不被特定任务支持时，它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

3. 在默认用户域字段中键入默认的用户域。这是当 MVP 试图验证用户时使用的默认 NT 域。

4. 单击应用来保存新的默认用户域。