画像形成装置、その制御方法、システム、プログラム及び記憶媒体
【課題】複合機やプリンタといった画像形成装置に認証機能を設け、該認証機能により通信範囲をユーザ所望の範囲に変更でき、利便性を向上させること。
【解決手段】MFP101からは、登録ユーザID、パスワードをスイッチ108を介して認証サーバ107に送信する。認証サーバ107は受けた登録ユーザID、パスワードを用いて認証処理を行い、認証が成功した場合には、対応するVLANの識別子、及びIPアドレスをMFP101に対して送信する。
【解決手段】MFP101からは、登録ユーザID、パスワードをスイッチ108を介して認証サーバ107に送信する。認証サーバ107は受けた登録ユーザID、パスワードを用いて認証処理を行い、認証が成功した場合には、対応するVLANの識別子、及びIPアドレスをMFP101に対して送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想ネットワークに関し、特に、VLAN技術に関するものである。
【背景技術】
【0002】
現在の屋内ネットワークの主流であるLAN(Local Area Network)はパーソナルコンピュータの普及に伴い発展してきた。それ以前は一台のホストコンピュータに複数台のターミナルが接続され、処理自体はホストコンピュータ上で行なうタイムシェアリングシステムが採用されていた。
【0003】
多種多様化されたプロトコルが伝達されるLANでは、各環境に物理的に配置されたLANを仮想的に細分化する仮想LAN(Virtual LAN、VLAN)によりプリンタとパーソナルコンピュータとが接続されるようになっている。
【特許文献1】特開2004−102914号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、例えば会議室や商談スペースといった不特定多数の一般者が使用する場所に設置されたプリンタやMFPは、その用途から不特定者がアクセス可能なパブリックな設定のネットワーク環境に接続していることが多い。そのような場合、パブリックなネットワーク環境における通信範囲はセキュリティの関係上、固定的且つ限られた範囲に限定されるケースが多い。例えば、ユーザ所望の別のネットワーク環境に、アクセスができない場合が想定される。その結果、例えば、任意のユーザが会議の際にMFPを使用して特定のネットワーク上にあるサーバにSendや参照プリントを行ないたい場合でも、接続できないという問題が発生する。
【0005】
本発明は以上の問題に鑑みてなされたものであり、複合機やプリンタといった画像形成装置に認証機能を設け、該認証機能により通信範囲をユーザ所望の範囲に変更でき、利便性を向上させることを目的とする。
【課題を解決するための手段】
【0006】
本発明の目的を達成するために、例えば、本発明の画像形成装置は以下の構成を備える。
【0007】
即ち、接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置であって、複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求手段と、前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段とを備えることを特徴とする。
【発明の効果】
【0008】
本発明の構成により、複合機やプリンタといった画像形成装置に認証機能を設け、該認証機能により通信範囲をユーザ所望の範囲に変更でき、利便性を向上させることができる。
【発明を実施するための最良の形態】
【0009】
以下、添付図面を参照して、本発明を好適な実施形態に従って詳細に説明する。
【0010】
[第1の実施形態]
図1は、本実施形態に係るシステムの構成例を示す図である。本実施形態に係るネットワークはEthernet(登録商標)であり、複数のノードが接続されている。更に、本実施形態に係るネットワークは例えば1Fに設けられているサブネットワークと2Fに設けられているサブネットワークとで構成されている。
【0011】
1Fのサブネットワークには、MFP(複合機)101、PC(パーソナルコンピュータ)102、103とが接続されている。また、DHCPサーバ(ネットワーク設定発行サーバ)106、認証VLANへのアクセス認証を行なうための認証部として機能する認証サーバ107も接続されている。これらのノードは認証VLAN対応スイッチ108の各々のアクセスリンクポートに接続されている。2Fのサブネットワークには、PC104、105が接続されており、これらのノードは認証VLAN対応スイッチ109の各々のアクセスリンクポートに接続されている。そして認証VLAN対応スイッチ108と認証VLAN対応スイッチ109とは、互いのトランクポートによって接続されている。各ノードの動作や構成、役割については後述する。
【0012】
以下では、仮想ネットワークとして、認証VLANを例に説明を行っていく。しかし、仮想VLAN(認証VLAN)には限定されず、例えば、VPN(Virtual Private Network)等、接続時に使用者の認証処理が必要な仮想ネットワークであれば適用することができる。また、認証処理により機器が接続された使用者所望の仮想ネットワークのことを注目仮想ネットワークと呼ぶ。
【0013】
図2は、仮想ネットワークに接続可能なMFP101のハードウェア構成を示すブロック図である。
【0014】
210はNVRAM(不揮発性メモリ)である。
【0015】
201はCPUで、RAM203やROM202に格納されているプログラムやデータを用いてMFP101全体の制御を行うと共に、MFP101が行う後述の各処理を実行する。
【0016】
202はROMで、MFP101全体の制御をCPU201に実行させるためのプログラムやデータ等を格納する。これらのプログラムやデータはCPU201による制御に従って適宜RAM203にロードされ、CPU201による処理対象となる。
【0017】
203はRAMで、ネットワークインターフェースカード211やスキャナコントローラ213、パネルコントローラ207を介して外部から受信したデータを一時的に記憶するためのエリアを有する。更にRAM203は、ディスクコントローラ209を介してハードディスクドライブ208からロードされたプログラムやデータを一時的に記憶するためのエリアを有する。更にRAM203には、CPU201がこれら各種のプログラムやデータを用いて処理を実行する際に用いるワークエリアも有する。このように、RAM203は、様々な情報を一時的に記憶するためのエリアを適宜提供することができる。
【0018】
211はネットワークインターフェースカードで、本MFP101を上記イーサネット(登録商標)110に接続するためのインターフェースとして機能するものである。MFP101はこのネットワークインターフェースカード211を介して、イーサネット(登録商標)110に接続されている各種の機器とのデータ通信を行うことができる。
【0019】
214はスキャナで、紙などの記録媒体上に記録されている情報を画像信号として読み取る。スキャナ214の駆動制御はスキャナコントローラ213により行われており、この駆動制御によりスキャナ214が読み取った画像信号はスキャナコントローラ213により画像データとしてRAM203やハードディスクドライブ208に出力される。
【0020】
204はプリンタエンジンで、エンジンコントローラ205を介して受けたデータに基づいて、紙などの記録媒体上に画像や文字などをプリントする。プリンタエンジン204の駆動制御はエンジンコントローラ205により行われている。
【0021】
206はパネルで、例えばタッチパネル式の液晶画面により構成されており、本MFP101の操作者が自身の指などでもって画面上を指示することで、各種の指示を入力することができる。更に、パネル206の表示画面上には、各種の情報を表示することができ、例えば、印刷設定画面やスキャン設定画面などを表示することができる。パネル206におけるパネル206の駆動制御はパネルコントローラ207により行われる。
【0022】
208はハードディスクドライブである。ここには代表的なものとして、OS(オペレーティングシステム)215が保存されている。また、周辺機器に関する情報のデータベースであるMIB218(Management Infomation Base)が保存されている。また、MFP101全体の制御をCPU201に実行させるためのソフトウェアである複合機制御ソフトウェア216が保存されている。また、後述する認証VLANにアクセスするためのソフトウェアである認証VLANログインエージェント217が保存されている。これらのプログラムやデータはCPU201による制御に従って適宜RAM203にロードされ、CPU201による処理対象となる。
【0023】
Webサーバソフトウェア219(ウェブサーバとも呼ぶ)はMFP101がWebサーバとなるためのソフトウェアである。外部ノードはネットワークを経由してWebサーバにアクセスすることにより、Webサーバソフトウェアによって公開されるWebページを自装置のWebブラウザに表示することが可能となる。なお、Webサーバソフトウェア219が公開するWebページには、MFP101の消耗品や機器情報の参照やネットワーク設定を可能とするページが含まれているものとする。消耗品とはトナーや用紙であり、機器情報は製品名称やオプション機器の種別を意味するものである。FTPクライアントソフトウェア220はFTPプロトコル(File Transfer Protocol)を用いてFTPサーバにファイルを送信するためのソフトウェアである。スキャナ214によってスキャニングされたデータはスキャナコントローラ213によって複合機制御ソフトウェア216に転送される。複合機制御ソフトウェアは画像処理を施した後、ハードディスクドライブ208にデータとして保持される。保持されたデータは適宜FTPクライアントソフトウェア220によってネットワークを経由してFTPサーバに送信される。
【0024】
なお、ここでハードディスクドライブ208に保存されているものとして説明したものは一例である。これ以外のプログラムやデータ、例えば、MFP101が行う処理として以下説明する各処理をCPU201に実行させるためのプログラムやデータもまた、このハードディスクドライブ208に保存されている。
【0025】
212は同図に示す如く、上述の各部を繋ぐシステムバスである。
【0026】
図16は、認証部として機能する認証サーバ107のハードウェア構成を示すブロック図である。
【0027】
1601はCPUで、RAM1602やROM1603に格納されているプログラムやデータを用いて認証サーバ107全体の制御を行うと共に、認証サーバ107が行う後述の各処理を実行する。
【0028】
1602はRAMで、外部記憶装置1606からロードされたプログラムやデータ、I/F(インターフェース)1607を介して外部から受信したデータなどを一時的に記憶するためのエリアを有する。更に、RAM1602は、CPU1601が各種の処理を実行する際に用いるワークエリアなどを有する。このように、RAM1602は、各種の記憶エリアを適宜提供することができる。
【0029】
1603はROMで、認証サーバ107の設定データやブートプログラムなどを格納する。
【0030】
1604は操作部で、キーボードやマウスなどにより構成されており、認証サーバ107の操作者が操作することで、各種の指示を入力することができる。
【0031】
1605は表示部で、CRTや液晶画面などにより構成されており、CPU1601による処理結果を画像や文字などでもって表示することができる。
【0032】
1606は外部記憶装置で、ハードディスクドライブ装置に代表される大容量情報記憶装置である。ここにはOS(オペレーティングシステム)や、認証サーバ107が行う後述の各処理をCPU1601に実行させるためのプログラムやデータが保存されている。そしてこれらのプログラムやデータは、CPU1601による制御に従って適宜RAM203にロードされる。そしてCPU1601がこのロードされたプログラムやデータを用いて処理を実行することで、CPU1601は、認証サーバ107が行う後述の各処理を実行することになる。
【0033】
1607はI/Fで、認証サーバ107を上記イーサネット(登録商標)110に接続するためのものであり、認証サーバ107はこのI/F1607を介して上記イーサネット(登録商標)110に接続されている各種の機器とのデータ通信を行う。
【0034】
1608は上述の各部を繋ぐバスである。
【0035】
次に、本実施形態に係る認証VLANにおけるVLAN通信方法と認証方法とノードのVLAN割り当て方法について説明していく。まず、認証を行なわない一般的なVLAN(静的VLAN)について、図3乃至5を用いて説明する。
【0036】
認証VLANの仕組みは静的VLANの技術を拡張して成り立っているため、静的VLANの実現方法を先に説明する。図3は4ポートのVLAN対応スイッチ301とそれに接続されるノードを示す図である。ポート1にはプリンタ302が接続され、ポート2にはPC303が接続され、ポート3にはプリンタ304が接続され、ポート4にはPC305が接続されている。
【0037】
VLAN対応スイッチ301はレイヤ2スイッチがベースとなっていて、それにVLANの機能を付加したものである。VLAN対応スイッチ301、自装置の各ポートにブロードキャストドメインを割り当てることが可能である。スイッチはポートからブロードキャストを受信すると、そのポートに割り当てられたブロードキャストドメインと同じポートにのみ、ブロードキャストパケットを転送する。この割り当てられたブロードキャストドメインがVLANに相当する。例えば、ポート1、2にVLAN−3aが割り当てられ、ポート3、4にVLAN−3bが割り当てられているものとする(VLAN−3a及びVLAN−3bは識別しやすくするために設けた呼称である)。
【0038】
この場合、プリンタ302が送出し、ポート1が受信したブロードキャストパケットは、同一VLANであるポート2のみに転送され、プリンタ304が送出し、ポート4が受信したブロードキャストパケットは、ポート3にのみ転送される。即ち、ポート1、2のパケットはポート3、4に転送されることはなく、またその逆もない。LANの管理者はレイヤ2スイッチにブロードキャストドメインの設定を行なうことでLANを仮想的に分割することが可能である。各々のポートの所属VLANはVLAN対応スイッチ301を操作して管理者が自由に設定することが可能である。
【0039】
次に、複数のVLAN対応レイヤ2スイッチを用いて、複数のスイッチをまたがったVLANを構成する場合の手法について図4及び図5を用いて説明する。スイッチ間でVLAN環境を共有するには、トランクリンクという手法が存在する。本実施形態でのスイッチ間のVLAN構成はこのトランクリンクによるものである。トランクリンクとは、複数のVLANのトラフィックを転送することができるポートのことであり、このポートを用いてレイヤ2スイッチ間を流れるパケットには、そのパケットがどのVLANに属するかを識別するための情報が付加される。
【0040】
送信側レイヤ2スイッチはVLAN識別情報を付加してパケットを送信し、受信したレイヤ2スイッチはVLAN識別情報を参照することで、パケットの転送先ポートを識別することが可能である。このVLAN識別情報の規格としては、IEEE802.1Qと呼ばれる標準規格と、ベンダ独自の規格が存在する。本実施形態においては、IEEE802.1Qを使用した通信を採用しているものとする。IEEE802.1Qはトランクリンク上でVLANを識別する識別情報を付加するためのプロトコルである。そのパケット構造はイーサネット(登録商標)フレームを拡張したような構成になっている。IEEE802.1Qのパケット構造を図5に示す。
【0041】
IEEE802.1QでのVLAN識別情報は、フレームの送信元MACアドレスとタイプの間の位置に挿入される形である。挿入される情報は、2バイトのTPIDと2バイトのTCIの合計4バイトである。また、この4バイトが挿入されることによってフレームのCRCの計算方法がイーサネット(登録商標)とは異なる。VLAN対応レイヤ2スイッチはアクセスリンクポートに受信したイーサネット(登録商標)フレームをトランクリンクに転送する際には、これらの情報を挿入して転送する。またトランクリンクから入力されたIEEE802.1Qフレームは、これらの情報が取り除かれた形で対応するVLANのアクセスリンクポートに転送される。ここで図4のような構成を考える。
【0042】
図4は、アクセスリンクを4ポートを有し、それぞれのポートにPC及びMFPが接続されているVLAN対応スイッチを2つ繋げた場合の構成を示す図である。同図に示す如く、アクセスリンクが4ポートのVLAN対応スイッチ401が存在し、ポート1にはMFP403が接続され、ポート2にはPC404が接続され、ポート3にはPC405が接続され、ポート4にはPC406が接続されている。また、アクセスリンクが4ポートのVLAN対応スイッチ402が存在し、ポート1にはPC407が接続され、ポート2にはPC408が接続され、ポート3にはPC409が接続され、ポート4にはPC410が接続されている。そしてVLAN対応スイッチ401にはトランクリンクポート411があり、VLAN対応スイッチ402にはトランクリンクポート412が存在する。トランクリンクポート411とトランクリンクポート412はストレートEthernet(登録商標)ケーブルによって接続されている。
【0043】
ここで、VLAN対応スイッチ401のポート1、2にVLAN−4aが割り当てられ、ポート3、4にVLAN−4bが割り当てられているものとする。また、VLAN対応スイッチ402のポート1、2にVLAN−4aが割り当てられ、ポート3、4にVLAN−4bが割り当てられているものとする(VLAN−4a及びVLAN−4bは識別しやすくするために設けた呼称である)。この場合、MFP403が送出し、VLAN対応スイッチ401のポート1が受信したブロードキャストパケットは、VLAN対応スイッチ401によって同一VLANであるポート2に転送される。異なるVLANであるVLAN対応スイッチ401のポート3及びポート4に転送されることはない。
【0044】
同時にVLAN対応スイッチ401は、ポート1が受信したブロードキャストパケットをトランクリンクポート411に転送する。その際にVLAN対応スイッチ401は、Ethernet(登録商標)フレームをIEEE802.1Qフレームに変更する処理を行う。VLAN対応スイッチ401はTPID情報(0x8100)と12ビットのVLAN識別情報を含むTCIをイーサネット(登録商標)フレームに挿入し、CRCを再計算してトランクリンクポート411からIEEE802.1Qフレームを送出する。VLAN対応スイッチ402はトランクリンクポート412でVLAN対応スイッチ401が送出したIEEE802.1Qフレームを受信する。
【0045】
そしてVLAN対応スイッチ402はIEEE802.1QフレームからTPID情報及びTCI情報を抜き、CRCを再計算したイーサネット(登録商標)フレームをアクセスリンクポートに転送する。その際に転送するポートは、VLAN−4aが割り当てられているポート、即ちポート1及びポート2である。VLAN対応スイッチ402は受信したIEEE802.1QフレームのTCI情報を参照することで転送先のアクセスリンクポートを判断する。あるノードから送出されたイーサネット(登録商標)フレームが異なるVLANが登録されたアクセスリンクポートに転送されることはない。
【0046】
次に図6を用いて、本実施形態における認証VLANへのアクセス要求動作と、VLAN決定動作について説明する。図6は、2台PCと1台のプリンタ、DHCPサーバ、認証サーバがVLAN対応スイッチに接続されている構成を示す図である。
【0047】
同図に示す如く、認証VLAN対応スイッチ601は8ポートのアクセスリンクを有しており、ポート1にはPC602が接続され、ポート2にはプリンタ603が接続され、ポート3にはPC604が接続されている。ポート4にはDHCPプロトコルでIPアドレス等のネットワークコンフィギュレーション情報を配布するDHCPサーバ605が接続されており、ポート5には認証サーバ606が接続されている。
【0048】
認証VLAN対応スイッチ601にはVLAN−6a、VLAN−6b、デフォルトVLANの3種類のVLANが存在しており、プリンタ603は現在VLAN−6aに所属し、PC604は現在VLAN−6bに所属している。DHCPサーバ605及び認証サーバ606はデフォルトVLANに所属している。デフォルトVLANとは、認証が行なわれる前のノードが所属するVLANであり、ここに所属するノードはDHCPサーバ605及び認証サーバ606とは通信が可能であるが、認証後のノードとは隔離されている。
【0049】
認証VLAN対応スイッチ601は電源投入後の認証が行なわれていないノードをこのVLANに所属させる。VLAN−6aとVLAN−6b間のルーティングは行なっていないものとする。ここで、PC602が認証VLANに参加することを考える。
【0050】
PC602の電源が投入されると、PC602は自装置のHDD(ハードディスクドライブ)に格納されているオペレーティングシステムをロードする。オペレーティングシステムは起動中に自装置のIPアドレスやサブネットマスクといったネットワークコンフィギュレーションを行なうが、ここではDHCPを用いる。PC602はDHCPリクエストを送出してDHCPサーバ605からネットワーク情報を受け取る。オペレーティングシステムが起動すると、その上でVLAN認証エージェントが起動する。このソフトウェアは、PC602を使用するユーザの認証を行なうため、操作者にユーザ認証を促す。
【0051】
PC602の操作者は、VLAN認証エージェントの画面に表示された登録ユーザIDとパスワード入力欄に自身の登録ユーザIDとパスワードを入力する。ユーザから登録ユーザIDとパスワードの入力があったら、VLAN認証エージェントは認証サーバ606に対して認証リクエストを発行する。認証サーバ606のIPアドレスは予めわかっているものとする。
【0052】
認証サーバ及びプロトコルは、本実施形態においては、RADIUS(Remote Authentication Dial−In User Service)が採用されているものとする。RADIUSとは、元々はリモートアクセスサーバのユーザ認証のために開発されていたプロトコルである。今ではLAN内での認証にも使用されることが多く、認証機能を有するVLANにおいても使用されるプロトコルである。RADIUSパケットの構造は、大まかには、識別コード部と属性ペアに分類される。他の情報も含まれるがここでは割愛する。識別コード部とは、オペレーション種別が含まれる。これにはオペレーション要求、アクセス許可、アクセス拒否、等が存在する。属性ペア部とは、RADIUSプロトコルで定義された各種の属性とその値を記載するエリアである。属性とは、認証サーバまたは認証クライアントが必要とする情報であり、種類によって属性値が定義されている。たとえばアクセス要求で使用するユーザ名は、User−Name(1)と定義されており、パスワードであればUser−Password(2)と定義されている。
【0053】
PC602は認証サーバ606にRADIUSの認証要求を送出する。送出されたパケットは認証VLAN対応スイッチ601がアクセスリンクのポート1で受信する。認証VLAN対応スイッチ601はそのパケットを認証サーバ606が接続しているポートに転送する。認証サーバ606はパケットを受信する。認証サーバ606上で動作しているソケットプログラムモジュールは、受信したパケットの送信先ポートがRADIUSの認証ポートであることから、UDPパケットデータを認証サーバ606内のRADIUSの実行モジュールに渡す。以後、認証サーバ606内のRADIUSの実行モジュールを、RADIUSモジュールと呼ぶ。RADIUSモジュールは受信データの識別コードを参照し、値が認証要求であることを判断する。そして属性ペア部に含まれるユーザ名とパスワードとを参照し、それが自身が管理する認証テーブルに適合するか否かを判断する。ここでRADIUSモジュールの認証テーブルにPC602の操作者のユーザ名が登録されていて、且つパスワードも操作者が入力したものと同値であるならば、認証に成功したと判断し、RADIUSモジュールはアクセス許可のリプライを返す。RADIUSモジュールの認証テーブルとは、例えば図7で示されるような構成を有するテーブルである。
【0054】
図7は、登録ユーザIDに対応するパスワードと所属VLANとを関連付けて登録したテーブルの構成例を示す図である。これらの情報は認証サーバ606の外部記憶装置1606にデータとして保存されているが、実際にはパスワード情報などは暗号化されている。行701には、ユーザ名「Yamada」に対するパスワードと所属VLANとが登録されており、パスワードは「1234XYZ」、所属VLANは「VLAN−6a」である。行702には、ユーザ名「Shimizu」に対するパスワードと所属VLANとが登録されており、パスワードは「abcabc」、所属VLANは「VLAN−6b」である。
【0055】
RADIUSモジュールは、受信したRADIUSパケットのUser−Name(1)属性とUser−Password(2)とを参照し、上記テーブルと比較する。その結果、ユーザ名が存在し、且つパスワードも正しければ認証成功である。ユーザ名が存在しなかったり、パスワードがミスマッチしたりしている場合には認証失敗とみなされる。RADIUSモジュールは認証の結果を返信する。認証失敗ならばAccess−Rejectコードを返し、認証成功ならばAccess−Acceptコードを返す。Access−Acceptコードを返す場合、RADIUSモジュールはPC602の操作者が所属するVLAN情報をリプライパケットに付加して送信する。たとえば、PC602の操作者がYamadaであった場合にはVLAN−6aを返し、PC602の操作者がShimizuであった場合にはVLAN−6bを返す。
【0056】
RADIUSモジュールは認証テーブルを参照することにより、操作者が所属するVLANを判別して、情報を付加する。付加される場所は属性ペア部であり、その属性値は26(Vender−Specific)であるものとする。RADIUSモジュールは操作者の登録ユーザIDに対応する所属VLANを表す識別子を属性値として付加してPC602に送出する。送出されたパケットは認証VLAN対応スイッチ601のポート5が受信する。
【0057】
認証VLAN対応スイッチ601は宛先MACアドレスを参照し、それがPC602のアドレスであることからPC602が接続されているポート1にパケットを転送する。その際に、認証VLAN対応スイッチ601はパケットの識別コード部及び属性ペア部を参照することにより、PC602が認証に成功し、且つPC602が所属するVLANを判別する。例えば、PC602の操作者がYamadaであるならば、PC602に対応するVLANはVLAN−6aであるものと判断する。その後、認証VLAN対応スイッチ601はPC602が接続されるポートをVLAN−6aとして動作させる。これにより、PC602はVLAN−6aに所属したことになり、プリンタ603と通信することが可能となる。以上が一般的な認証VLANの構成と動作である。これは認証VLANを構成する手段の一例であり、他の手法としては例えば、IEEE802.1xの規格に準じるといった構成が考えられる。
【0058】
本実施形態、及び後述する第2の実施形態においては、上述のような認証VLANの構成や通信動作が基本となっているものとする。そして、その前提のもと、以下では本実施形態に係るMFP101の動作について説明する。図8はMFP101が有するパネル206に表示される標準認証VLAN設定画面の表示例を示す図である。
【0059】
MFP101は、MFP101の管理者や利用者に対してMFP101の各種設定を行なうことが可能なUI(User Interface)を提供している。MFP101の管理者や利用者はパネル206に表示される各種設定項目に設定情報を入力することができ、これにより、MFP101にその環境に適応する動作(設定処理)を行なわせることができるようになる。
【0060】
ここでの設定項目とは例えば、MFP101のネットワーク情報や印刷品質情報、MFP101のニックネームや時間情報といったものが挙げられる。ここで、MFP101の管理者は、MFP101を図1記載の環境に適合させるため、MFP101のIPアドレス設定をDHCPによる取得設定とする。またMFP101のデフォルトVLAN設定を図8と同様の画面を用いて行なう。なお、以下の説明ではデフォルトVLANの表記を用いて説明を行うが、デフォルトVLANは、画像形成装置が認証サーバ107にアクセスできるネットワーク環境を提供できれば事足りる。従って、デフォルトVLANは、認証VLANであっても、そうでなくても、双方を適用することができる。
【0061】
ここで、標準認証VLANとは、MFP101の通常状態でログインしている認証VLANのことである。これに対して、デフォルトVLANは標準認証VLANにネットワーク環境を設定する為の、認証サーバ107と通信を行う為のものである。また、デフォルトVLANが認証VLANにより構築されている場合には、標準認証VLANとデフォルト認証VLANの設定が等しくしても良い。そして、MFP101の標準認証VLAN設定は図8に示されるように3種類の項目から構成される。
【0062】
ボタン画像801、802は、MFP101が認証VLANへのアクセスを行なうか否かを設定する為に指示するものである。MFP101が設置される環境に認証VLANが導入されていない場合には、「No」ボタン802を指示する。これにより、MFP101の認証VLAN機能は無効となる。一方、「YES」ボタン画像801を指示した場合には、MFP101が認証VLANへのアクセス要求を行なうことを意味している。以下の説明では、「YES」ボタン画像801が指示されたものとする。
【0063】
803は、後述の認証サーバ107に対して認証VLANのアクセス要求を発行する際に、この要求に含めて認証サーバ107に送出するログインID(登録ユーザID)を入力する為の領域である。
【0064】
804は、後述の認証サーバ107に対して認証VLANのアクセス要求を発行する際に、この要求に含めて認証サーバ107に送出するパスワードである。上述のとおり、認証サーバ107は、受信したログインIDとパスワードとのセットが自身に登録されているか否かをチェックすることで、認証の可否を決定するので、領域803、804に入力するものは、予めセットにして発行されたものを入力する必要がある。
【0065】
なお、図8に示した画面を含め、各種の表示画面に係るプログラムやデータは、ROM202やハードディスクドライブ208に保存されている。そして保存されたデータをRAM203にロードするなどし、これを用いてCPU201が処理を実行することにより、MFP101が有するパネル206には、対応する画面が表示されることになる。また、この画面を用いて各種の設定を行うことができる。
【0066】
次に、MFP101の電源が投入され、標準認証VLANにログインする為に、MFP101、認証VLAN対応スイッチ108、認証サーバ107のそれぞれが行う処理について、同処理のフローチャートを示す図9を用いて説明する。なお、同図においてそれぞれの装置が行う部分を、それぞれの装置に行わせるためのプログラムやデータは、それぞれの装置が有するメモリに保持されている。そして、それぞれの装置が有するCPUが自身の装置が有するメモリに保持されているプログラムやデータを用いて処理を実行することで、各装置は同図のフローチャートに従った処理を実行することになる。CPUは相当するプロセッサで代替できる。
【0067】
例えば、MFP101の場合、MFP101が行う処理部分(S901、S902、S904〜S906、S916、S917)をCPU201に実行させるためのプログラムやデータはハードディスクドライブ208に保存されている。これをCPU201による制御に従って適宜RAM203にロードし、これを用いてCPU201が処理を実行することで、MFP101は、S901、S902、S904〜S906、S916、S917の各処理を実行することになる。
【0068】
また、認証サーバ107の場合、認証サーバ107が行う処理部分(S908〜S911)をCPU1601に実行させるためのプログラムやデータは外部記憶装置1606に保存されている。これをCPU1601による制御に従って適宜RAM1602にロードし、これを用いてCPU1601が処理を実行することで、認証サーバ107は、S908〜S911の各処理を実行することになる。
【0069】
S901でMFP101の電源が投入されると、CPU201はROM202に格納されている各種のプログラムやデータを用いて、MFP101を構成している各部を起動すると共に、必要なソフトウェアプログラムやデータをRAM203にロードする。
【0070】
次にS902では、CPU201は、イーサネット(登録商標)リンクの確立のための処理を実行する。より詳しくは、CPU201はネットワークインターフェースカード211を制御し、イーサネット(登録商標)110に対してリンクの確立処理を行なう。確立が行なわれたら、認証VLAN対応スイッチ108は、S903において、MFP101が接続しているポートのVLANをデフォルトVLANに切り替える。このようにすることで、MFP101のブロードキャストドメインはデフォルトVLANに割り当てられたノードのみになる。
【0071】
なお、起動時に予め定められたネットワーク環境への接続要求を行い、このネットワーク環境において認証サーバ107との通信を行うのであれば、本ステップにおける処理は適宜変形例が考えられる。
【0072】
ここで、イーサネット(登録商標)110に接続されているノードの所属VLANとIPアドレスについて図10を用いて説明する。
【0073】
本実施形態では、イーサネット(登録商標)110には3種類のVLANが存在しており、その実現は認証VLAN対応スイッチ108及び認証VLAN対応スイッチ109によって行なわれている。
【0074】
同図に示す如く、VLAN−10AにはPC102、104が所属している。PC102のIPアドレス及びサブネットマスクは222.111.0.1/24である。PC104のIPアドレス及びサブネットマスクは222.111.0.10/24である。VLAN−10BにはPC103及びPC105の2台が接続されており、PC103のIPアドレス及びサブネットマスクは111.111.0.5/24である。PC105IPアドレス及びサブネットマスクは111.111.0.15/24である。デフォルトVLANは基本的に認証前のノードが所属している仮のVLANであるが、デフォルトVLANで動作するためのIPアドレスの供給を受けるためのDHCPサーバ106及び認証を行なう認証サーバ107が所属している。DHCPサーバ106のIPアドレス及びサブネットマスクは10.0.0.2/24である。認証サーバ107のIPアドレス及びサブネットマスクは10.0.0.12/24である。
【0075】
このように、3種類のVLANは認証VLAN対応スイッチ108及び認証VLAN対応スイッチ109によってOSI第二階層によって仕切られていることに加えて、IPも異なるネットワークに所属していることがわかる。上記S903におけるデフォルトVLANの割り当て処理は、割り当てられたこと自体はMFP101に対しては通知されない。しかしMFP101はイーサネット(登録商標)110へのリンクが可能になった時点で、イーサネット(登録商標)を使用することが可能であると判断する。
【0076】
図9に戻って、次に、S904では、MFP101は、DHCPリクエストをDHCPサーバ106に対して発行し、MFP101のIP情報の取得を行なう。MFP101はDHCPパケットを送出するが、その際のDHCPプロトコルのオペレーションコードはBOOTREQUEST(1)である。MFP101はこのDHCPリクエストパケットをブロードキャストアドレス宛てに送出する。ここで認証VLAN対応スイッチ108はDHCPパケットを受信し、送信先MACアドレスがブロードキャストアドレスであることから、MFP101が所属するVLANのブロードキャストドメインにパケットを転送する。MFP101が所属するVLANであるデフォルトVLANのブロードキャストドメインにはDHCPサーバ106が接続されている。そのため、DHCPサーバ106はMFP101が送出したDHCPリクエストを受信し、DHCPサーバ106内の設定に従ったネットワーク情報を割り当てた返信パケットをMFP101に対して返信する。該返信は、何らかの通信異常やDHCPサーバの不正処理がない場合が勿論前提である。
【0077】
ここで割り当てるIPアドレスは、デフォルトVLANのネットワークに含まれるアドレスであるものとする。返信パケットをなんらかの障害や異常処理によってMFP101が受信することができなかった場合、MFP101はIPアドレスを取得することができず、他のノードとIP通信を行うことができないため、これ以上処理を続行することはできない。例えばMFP101が所定時間以上、返信パケットの受信を検知しなかった場合には、処理をS905を介して本処理を終了(不正終了)する。
【0078】
一方、MFP101が返信パケットの受信を検知した場合には処理をS905を介してS906に進め、MFP101は認証サーバ107に対して標準認証VLANへのアクセス要求を行う。CPU201による制御に従ってハードディスクドライブ208からRAM203にロードされた認証VLANログインエージェント217をCPU201が実行すると、認証サーバ107に対して認証リクエストを発行する処理を行う。この認証リクエストにはMFP101の管理者または利用者が図8のGUIを用いて設定した標準認証VLANの登録ユーザID及びパスワードを含む各種の情報が含められる。
【0079】
ここで認証サーバ107のIPアドレスは予め管理者によって設定されており、MFP101はそのアドレス値をMIB218のオブジェクトとして保持しているものとする。認証サーバ107の種類及びプロトコルは、前述のようにRADIUSが採用されているものとする。
【0080】
RADIUSパケットの構造は、大まかには、識別コード部と属性ペアに分類される。他の情報も含まれるがここでは割愛する。識別コード部とは、オペレーション種別が含まれる。これにはオペレーション要求、アクセス許可、アクセス拒否、等が存在する。属性ペア部とは、RADIUSプロトコルで定義された各種の属性とその値を記載するエリアである。属性とは、認証サーバまたは認証クライアントが必要とする情報であり、種類によって属性値が定義されている。たとえばアクセス要求で使用するユーザ名は、User−Name(1)と定義されており、パスワードであればUser−Password(2)と定義されている。
【0081】
MFP101は認証サーバ107にRADIUSの認証要求(パケット)を送出する。送出された認証要求は認証VLAN対応スイッチ108がMFP101が接続されたアクセスリンクポートで受信する。従ってS907では、認証VLAN対応スイッチ108はそのパケットを認証サーバ107が接続しているポートに転送する。
【0082】
S908では先ず、認証サーバ107はI/F1607を介してRAM1602にパケットを取得(受信)する。すると、認証サーバ107上で動作しているソケットプログラムモジュールが、受信したパケットの送信先ポートがRADIUSの認証ポートであることから、UDPパケットデータを認証サーバ107内のRADIUSモジュールに渡す。そして、RADIUSモジュールは受信データの識別コードを参照し、値が認証要求であることを判断する。
【0083】
そして属性ペア部に含まれるユーザ名とパスワードとを参照し、それが外部記憶装置1606からRAM1602にロードした認証テーブルに適合するか否かを判断する。ここでRADIUSモジュールの認証テーブルにMFP101の操作者のユーザ名が登録されていて、且つパスワードも操作者が入力したものと同値であるならば、認証に成功したと判断し、RADIUSモジュールはアクセス許可のリプライを返す。RADIUSモジュールの認証テーブルとは、例えば図11で示されるような構成である。
【0084】
図11は、登録ユーザIDに対応するパスワード、所属VLAN、割り当てるIPアドレスが登録されたテーブルの構成例を示す図である。これらの情報は認証サーバ107の外部記憶装置1606にデータとして保存されているが、実際にはパスワード情報などは暗号化されているものである。行1101には、登録ユーザID「Yoshida」に対するパスワード、所属VLAN、割り当てるIPアドレスが登録されている。同図では、登録ユーザID「Yoshida」に対するパスワードは「ABC0001」、所属VLANは「VLAN−10A」、割り当てるIPアドレスは「222.111.0.20」である。
行1102には、登録ユーザID「Kato」に対するパスワード、所属VLAN、割り当てるIPアドレスが登録されている。同図では、登録ユーザID「Kato」に対するパスワードは「Kato1234」、所属VLANは「VLAN−10B」、割り当てるIPアドレスは「111.111.0.25」である。
【0085】
RADIUSモジュールは受信したRADIUSパケットのUser−Name(1)属性とUser−Password(2)とを参照し、認証テーブルと比較する。その結果、受信したRADIUSパケットから取得した登録ユーザIDとパスワードのセットが、認証テーブルに登録されていた場合には、認証成功である。一方、受信したRADIUSパケットから取得した登録ユーザIDとパスワードのセットが、認証テーブルに登録されていない場合には、認証失敗とみなされるので、処理をS908を介してS909に進める。そして、認証失敗メッセージ(Access−Rejectコード)を返す。
【0086】
一方、認証成功ならば処理をS908を介してS910に進め、RADIUSモジュールはRADIUSモジュールの認証テーブルを参照し、MFP101の操作者が所属するVLAN情報を判断する。そしてS911で、認証サーバ107はMFP101の操作者が所属するVLAN情報をリプライパケットに付加し、認証成功メッセージ(Access−Acceptコード)と共に応答送信する。
【0087】
たとえば、MFP101の操作者がYoshidaであった場合にはVLANを表す識別子として「VLAN−10A」、対応するIPアドレスとして「222.111.0.20」を返す。MFP101の操作者がKatoであった場合にはVLANを表す識別子として「VLAN−10B」、対応するIPアドレスとして「111.111.0.25」を返す。
【0088】
RADIUSモジュールは認証テーブルを参照することにより、操作者が所属するVLANを判別し、情報を付加する。付加される場所は属性ペア部であり、その属性値は26(Vender−Specific)であるものとする。RADIUSモジュールは操作者の登録ユーザIDに対応するVLANを表す識別子と、対応するIPアドレスを属性値(VLAN情報)として付加してMFP101に送出する。
【0089】
送出されたパケットは認証VLAN対応スイッチ108の認証サーバ107が接続されたアクセスリンクポートに受信される。従ってS912では、認証VLAN対応スイッチ108はパケットの識別コード部及び属性ペア部を参照することにより、MFP101が認証VLANのアクセス要求に対する認証に成功し、且つMFP101が所属するVLANが何であるかを識別する。
【0090】
例えば、MFP101の操作者がYoshidaあるならば、MFP101に対応するVLANはVLAN−10Aであるものと判断する。そしてS913では、認証VLAN対応スイッチ108は宛先MACアドレスを参照し、それがMFP101のアドレスであることからMFP101が接続されているアクセスリンクポートにパケットを転送する。その後、認証VLAN対応スイッチ108は認証に成功していた場合には処理をS914を介してS915に進め、MFP101が接続されるアクセスリンクポートをVLAN−10Aとして動作させる。これにより、MFP101はVLAN−10Aに所属したことになり、VLAN−10Aに所属するノードと通信することが可能になる。MFP101は認証VLAN対応スイッチ108からの返信を受け、所定の処理を行う。
【0091】
一方、認証VLAN対応スイッチ108からの返信が、認証失敗を表す情報であった場合には処理をS916に進め、認証VLANログインエージェント217は情報を解釈し、複合機制御ソフトウェア216に結果を伝達する。伝達方法についての具体的手法は明記しないが、ソフトウェアモジュール間でデータを伝達するための一般的な方法を採用しているものとする。たとえばプロセス間通信や内部関数呼び出しといった方法が採用されている。
【0092】
複合機制御ソフトウェア216は認証に失敗を示す通知を受信すると、パネル206に、標準認証VLANへのログインに失敗し、MFP101がネットワーク通信を行なうことが出来ないことを通知するエラーメッセージを表示する。
【0093】
一方、MFP101が受信した返信パケットが認証成功を表すものであった場合にはS915における処理の後、処理をS917に進める。そして認証VLANログインエージェント217は受信したパケットに含まれているIPアドレス情報を、複合機制御ソフトウェア216に伝達する。複合機制御ソフトウェア216は、OS215に所定の命令を通知することによって、MFP101のIPアドレスを認証サーバ107から通知されたIPアドレスに変更する。このようにMFP101のIPアドレスを認証サーバ107から通知されたIPアドレスに変更することによって、MFP101が所属するVLANでIP通信を行うことを可能としている。これで、MFP101の起動時の標準認証VLANログイン処理は終了となる。
【0094】
次に、MFP101が登録ユーザID「Yoshida」で認証VLANにログインした際に、イーサネット(登録商標)内でのパケットの伝達について説明する。MFP101がブロードキャスト宛てにIPパケットを送出した場合、まずパケットは、認証VLAN対応スイッチ108のMFP101が接続されているアクセスリンクポートで受信する。認証VLAN対応スイッチ108は、MFP101が接続されているアクセスリンクポートと同一のVLANに設定されているアクセスリンクポートにパケットを転送する。ここで、同一のVLANとは、MFP101の所属しているVLANはVLAN−10Aであるため、図10の対応表からPC102であることが分かる。認証VLAN対応スイッチ108はPC102が接続しているアクセスリンクポートに対してパケットを転送する。PC103やDHCPサーバ106、認証サーバ107は異なるVLANに所属しているため、これらに対しては認証VLAN対応スイッチ108はパケットの転送を行なわない。
【0095】
認証VLAN対応スイッチ108は同時に、自装置のトランクリンクポートからは認証VLAN対応スイッチ109に対してパケットを転送する。認証VLAN対応スイッチ108はIEEE802.1Qの規格に従ってVLAN情報を含めたパケットを認証VLAN対応スイッチ109に転送する。認証VLAN対応スイッチ108はまず、Ethernet(登録商標)フレームをIEEE802.1Qフレームに変更する処理を行う。認証VLAN対応スイッチ108はTPID情報(0x8100)と12ビットのVLAN識別情報を含むTCIをイーサネット(登録商標)フレームに挿入し、CRCを再計算してトランクリンクポートからIEEE802.1Qフレームを送出する。
【0096】
認証VLAN対応スイッチ109は、トランクリンクポートで認証VLAN対応スイッチ108が送出したIEEE802.1Qフレームを受信する。そして認証VLAN対応スイッチ109はIEEE802.1QフレームからTPID情報及びTCI情報を抜き、CRCを再計算したイーサネット(登録商標)フレームをアクセスリンクポートに転送する。その際に転送するポートは、VLAN−10Aが割り当てられているポート、即ちPC104が接続するポートである。認証VLAN対応スイッチ109は、受信したIEEE802.1QフレームのTCI情報を参照することで転送先のアクセスリンクポートを判断する。このようにして、MFP101が送出したIPパケットは同一VLANに所属するノードにのみ転送される。
【0097】
次に、MFP101を起動した後で、MFP101を標準VLAN以外の認証VLANにログインさせる場合に、MFP101が行う処理について、同処理のフローチャートを示す図12を用いて説明する。ここで、標準VLANとは、図9のフローチャートのS917に至る処理により、割り当てられた通信範囲とする。また、標準VLANとは、標準認証VLANのことを簡略化した表現であり、標準認証VLANを指す。
【0098】
S1201では、図9のフローチャートに従った処理によりMFP101が行う処理を実行する。次に、S1202では、図9のフローチャートに従った処理により、認証VLANへのログインが成功したか否かをチェックする。ここで標準VLANアカウントでの認証VLANへのログインに失敗している場合、MFP101はネットワーク通信を行うことが出来ないためこれ以上の処理を続行することが出来ない。そのためここで終了となる。即ち、S1202を介して本処理を終了する。
【0099】
一方、標準VLANアカウントでの認証VLANへのログインに成功した場合には処理をS1202を介してS1203に進め、MFP101は割り込みログインの待ちループ処理を行なう。割り込みログインとは、一時的にMFP101を標準VLANで設定されたVLAN以外のVLANにログインさせる機能である。
【0100】
このとき、MFP101の操作者は、パネル206に表示されているUIを操作し、割り込みログインの操作画面を呼び出す指示を入力する。MFP101はこの指示を受けると、図13に例示する画面をパネル206の表示画面上に表示する処理を行う。図13は、割り込みログインの操作画面の表示例を示す図である。
【0101】
同図に示す如く、操作画面には、登録ユーザID(ログインID)を入力するための領域1301と、パスワードを入力するための領域1302とが設けられている。それぞれの領域1301、1302に入力するものは、RADIUSサーバに問い合わせる認証VLANの登録ユーザIDとパスワードに結び付けられている。ここで、割り込みログインの入力があれば、処理をS1203を介してS1204に進め、MFP101は図13の画面上に入力された登録ユーザIDとパスワードとを用いて、認証サーバ107に認証VLANのログイン要求を発行する。認証VLANへのログイン要求の発行と、認証サーバ107及び認証VLAN対応スイッチ108による認証処理に関しては、上記S906からS917における処理と同様であるので、これに関する説明は省略する。
【0102】
そして、MFP101は認証に成功したか否かを示す情報を受けるが、認証に失敗した場合には処理をS1204を介してS1205に進める。そして、認証VLANログインエージェント217は複合機制御ソフトウェア216を介してパネル206に認証VLANへのログインに失敗した旨のメッセージを表示する。そして再度標準VLANにログインするため、処理をS1202に戻す。このようにすることによって、割り込みログイン失敗時には、予め設定された標準VLANに再ログインする。
【0103】
一方、認証に成功した場合には、処理をS1204を介してS1206に進め、MFP101は割り込みログインで設定されたVLAN上のノードとして動作する。この状態においては、ユーザはMFP101を割り込みログインで指定したVLAN上のノードとして操作することが可能であるため、例えば標準VLANとは異なるアクセス先にアクセスすることが可能になる。ユーザは割り込みログインで指定したVLAN上でのMFP101の使用が終了したら、パネル206に表示されたUIの指示に従ってログアウトを指示する。MFP101がこのログアウト指示を検知すると、処理をS1206を介してS1207に進め、ログアウト処理を行う。そして処理をS1202に戻し、再度標準VLANへのアクセス要求を行なう。このようにして、割り込みログインが終了したら、MFP101は自動的に標準VLANにログインを行なう。
【0104】
以上の説明により、本実施形態によれば、画像形成装置は画像形成装置の利用者が望む任意の認証情報を用いて認証VLANにアクセスすることが可能になる。また画像形成装置が通常状態においてアクセスする認証VLANと、それに加えて別の認証VLANにアクセスすることが可能になる。このため、一般者用の認証VLANに接続された画像形成装置においても利用者が特定の認証VLANにアクセスすることが可能になり、且つアクセスが終了したら再び一般者用の認証VLANに接続することが可能になる。
【0105】
なお、本実施形態に係る上記説明で用いた表示画面の構成やその操作方法、認証処理のために用いるもの(本実施形態では登録ユーザIDとパスワード)については適宜変形が考えれる。また、ネットワーク設定情報(本実施形態ではVLANの識別子とIPアドレス)等については適宜変形が考えられる。本実施形態に係る上記説明の本質は、このような様々な変形例に対しても適用可能なものである。
【0106】
上記実施形態によれば、例えば、任意のユーザが、会議等の際にMFP(画像形成装置)を使用して特定の認証VLANネットワーク上にあるサーバにSendを行ったり、参照プリントを行ったりすることができる。また、会議室等において、ユーザマターの認証VLANにノートPCを参加させた場合でも、そのユーザマターの認証VLANに画像形成装置を参加させ、容易に印刷を行うことができる。
【0107】
[第2の実施形態]
本実施形態では、割り込みログインのタイマ予約について説明する。なお、本実施形態は、第1の実施形態がベースとなっているため、以下では、第1の実施形態と本実施形態との差分事項について説明する。
【0108】
図15において、同図に示した画面は、パネル206の表示画面上における割り込みVLANログインのタイマ予約設定画面の表示例を示す図に表示される。MFP101の管理者又は利用者はこの設定画面を操作することで、MFP101の割り込みVLANログインのタイマ予約を設定する。
【0109】
領域1501、1502はそれぞれ、RADIUSサーバに問い合わせる認証VLANの登録ユーザID(ログインID)、パスワードを入力するための領域である。領域1503は、認証VLANへのログイン要求を発行する日時を入力するための領域であり、領域1504は、ログアウト時刻を入力するための領域である。MFP101の管理者又は利用者はこれらの領域に入力すべき情報を入力することで、割り込みログインのタイマ設定を行なう。
【0110】
図14は、図15に例示する画面を用いてログインする場合に、MFP101が行う処理のフローチャートを示す図である。
【0111】
S1401では、図9のフローチャートに従った処理によりMFP101が行う処理を実行する。次に、S1402では、図9のフローチャートに従った処理により、認証VLANへのログインが成功したか否かをチェックする。ここで標準VLANアカウントでの認証VLANへのログインに失敗している場合、MFP101はネットワーク通信を行うことが出来ないためこれ以上の処理を続行することが出来ない。そのためここで終了となる。即ち、S1402を介して本処理を終了する。
【0112】
一方、標準VLANアカウントでの認証VLANへのログインに成功した場合には処理をS1402を介してS1403に進め、MFP101は割り込みログインのタイムアップ待ちループ処理を行なう。割り込みログインとは、一時的にMFP101を標準VLANで設定されたVLAN以外のVLANにログインさせる機能である。従ってS1403では、複合機制御ソフトウェア216は、図15に例示した画面において領域1503に入力された時刻が、CPU201が計時している現在時刻であるのかをチェックする。このチェックの結果、領域1503に入力された時刻が、CPU201が計時している現在時刻である場合には、処理をS1403を介してS1404に進める。そして、MFP101は図15の画面上に入力された登録ユーザIDとパスワードとを用いて、認証サーバ107に認証VLANのログイン要求を発行する。認証VLANへのログイン要求の発行と、認証サーバ107及び認証VLAN対応スイッチ108による認証処理に関しては、上記S906からS917における処理と同様であるので、これに関する説明は省略する。
そして、MFP101は認証に成功したか否かを示す情報を受けるが、認証に失敗した場合には処理をS1404を介してS1405に進める。そして、認証VLANログインエージェント217は複合機制御ソフトウェア216を介してパネル206に認証VLANへのログインに失敗した旨のメッセージを表示する。そして再度標準VLANにログインするため、処理をS1402に戻す。このようにすることによって、割り込みログイン失敗時には、予め設定された標準VLANに再ログインする。
【0113】
一方、認証に成功した場合には、処理をS1404を介してS1406に進め、MFP101は割り込みログインで設定されたVLAN上のノードとして動作する。この状態においては、ユーザはMFP101を図15の設定項目で指定したVLAN上のノードとして操作することが可能であるため、例えば標準VLANとは異なるアクセス先にアクセスすることが可能になる。
【0114】
そしてMFP101は、図15に例示した画面において領域1504に入力された時刻が、CPU201が計時している現在時刻であるのかをチェックする。そして、領域1503に入力された時刻が、CPU201が計時している現在時刻である場合には、処理をS1406を介してS1407に進め、ログアウト処理を行う。そして処理をS1402に戻し、再度標準VLANへのアクセス要求を行なう。このようにして、割り込みログインが終了したら、MFP101は自動的に標準VLANにログインを行なう。
【0115】
以上の説明により、本実施形態によれば、認証VLANにアクセスする時間(時刻)の設定が可能になるため、通常は一般者用の認証VLANにアクセスしていても、特定の時間(時刻)のみ別のVLANにアクセスするといった使い方が可能になる。これはログアウトに関しても同様である。
【0116】
なお、領域1503、1504に入力するものは時刻だけでなく、毎週何曜日の何時とか、何月何日何時とか、所謂日時指定であっても良い。また、MFP101が図15の画面上に入力された登録ユーザIDとパスワードとを用いて認証サーバ107に認証VLANのログイン要求を発行する日時の指定方法や、決定方法については様々ものが考えられる。入力すべき日時と、現在日時とに基づいてログイン要求を発行するのであれば、如何なる変形例を用いても良い。
【0117】
なお、上記各実施形態で説明した処理は、図1に示したシステム構成以外の構成によっても実現可能である。即ち、図1に示したいくつかの装置を1つの装置に統合しても良いし、1つの装置が行う処理を複数の装置でまかなうようにしても良い。
【0118】
上記実施例によれば、特定のタイミング(日時等)で、会議室等における画像形成装置を容易に利用できるプリンティング環境を構築することができる。
【0119】
[第3の実施形態]
第3の実施形態では上記各実施形態を更に応用した例を説明する。
【0120】
まず、図2におけるFTPクライアントソフトウェア220を用いた例を説明する。MFP101の所属する標準VLANが、例えば、図10で示されるVLAN−10Bであった場合を想定すると、MFP101はPC103及びPC105と通信することが可能となる。なお、MFP101が認証VLAN−10Bに参加する処理は、第1の実施形態の図8、図13、図15で説明した設定画面を介して各種情報が入力され、図9、図14のフローチャートが実行されることにより行われる。
【0121】
このMFP101が認証VLAN−10Bに参加することで、スキャナ214により読み取った原稿データをPC105上で動作するFTPサーバに転送することが可能となる。より具体的には、MFP101は、FTPクライアントソフトウェア220を使用してFTPプロトコルによりPC105上で動作するFTPサーバに接続してスキャンデータを転送する。
【0122】
MFPの詳細な処理を以下で図17のフローチャートを用いて詳しく説明する。図17のフローチャートは、第1の実施形態の図9、図14等のフローチャートが実行され、MFPがユーザ所望の仮想ネットワークに接続された状態で実行されるものとする。
【0123】
まず、S1701で現在接続されている認証VLAN上のデバイスを探索する。ここで探索されるデバイスはPC乃至MFP(画像形成装置)を含むものとする。また、探索方法としては様々な形態が想定され、ブロードキャストによるもの、又はIPアドレス範囲を指定したもの、又はIPアドレスを直接したもの、又はデバイス名によるもの等が想定される。また、転送先を指定した。
【0124】
S1702ではS1701の探索処理による探索結果をMFPのパネル206に表示する。ユーザはここで表示されたデバイスから任意の転送先を指定する。
【0125】
S1703でMFPのパネル206を介して転送先指示がユーザによりなされたか否かを判定する。YESと判定した場合にはS1704で指示された転送先を設定する。一方NOと判定した場合には引き続きS1705でスキャナ214にセットされた原稿画像の読取指示、即ちスキャン指示が入力されたか否かを判定する。S1705でNOと判定した場合には処理をS1703へ戻し、一方、YESと判定した場合にはS1706で既にS1704により転送先が設定済みが否かを判定する。S1706でYESと判定した場合にはS1707へ処理を移す。
【0126】
S1707ではスキャナ214にセットされた原稿の画像を読み取り、S1708で読み取った画像をファイル名等の属性に従い、順次ファイル化する。ファイルの形式は例えばアドビ社が開発したPDF(Portable Document Format)を採用することが出来る。
【0127】
そしてS1709で、FTPクライアントソフトウェア220は、S1706でファイル化されたファイルデータをS1702で設定された転送先にFTPプロトコルで転送する。実際のFTPプロトコルによる転送はCPU201がFTPクライアントソフトウェア220を実行し且つネットワークインターフェースカード211と協働することにより行われる。
【0128】
なお、図17のフローチャートではS1703でS1701の探索結果の中から転送先を指定するよう説明を行ってきた。しかしながら例えば\\XXX\YYYのようにパスを直接MFPのパネル206を介して入力することにより、S1704で入力されたパスを設定しても良い。
【0129】
このように認証VLANをMFPに応用することで、ユーザが任意のMFPを用いる場合に、例えばハブ設定等の煩雑な作業を行うことなく、自らが転送先としたいPCと任意のMFPを容易に通信可能に接続できる。例えば会議室に設置されたMFPのスキャナを用い読み取った原稿画像を容易にユーザ所望のPCに転送することができる。
【0130】
更にMFPとPCとを認証VLANに基づき接続するので、例えば双方の機器のIPアドレス及びMACアドレスの設定を行うことにより、任意のPCをMFPに接続できてしまうというセキュリティレベルの低い事態を回避出来る。
【0131】
次に、図2におけるWebサーバソフトウェアを用いた例を説明する。例えばMFP101が図10で示される認証VLAN−10Aに参加すると、MFP101はPC102及びPC104と通信することが可能となる。この場合もMFP101の認証VLAN−10Aへの参加は、上述の図8、図13、図15に示される設定画面を介して各種情報が入力され図9、図14のフローチャートが実行されることにより行われる。
【0132】
MFPの詳細な処理を以下で図18のフローチャートを用いて詳しく説明する。図17のフローチャートは、第1の実施形態の図9、14等のフローチャートが実行され、MFPがユーザ所望の仮想ネットワークに接続された状態で実行されるものとする。
【0133】
図18のS1801において、MFP101のWebサーバソフトウェア219は起動待ちの状態である。Webサーバソフトウェア219はMFP101のIPアドレスの状態を監視しており、IPアドレスが決定された場合には起動処理を行なう。図9のS917において、MFP101のIPアドレスが決定したら、Webサーバソフトウェア219はS1802の処理に移行する。
【0134】
S1802では、WebサーバソフトウェアがWebサーバとして動作するための初期化及び起動処理を行なう。ここでは、ネットワークソケットの生成やバインドといったWebサーバソフトウェア219が外部のノードとHTTPプロトコルによる通信を行うための一連の処理を行なう。すなわちS1802が終了した時点において、MFP101上でWebサーバが動作している状態となる。
【0135】
S1803はWebサーバソフトウェア219が外部ノードからHTTPによるアクセスを待ち受ける処理を示している。この状態において、PC102又はPC104といった認証VLAN−10Aに参加している外部ノードからのHTTPプロトコルによるアクセスが発生した場合には、S1804の処理へと移行する。
【0136】
S1804では、Webサーバソフトウェア219はHTTPプロトコルによる所定の命令を受信し、Webデータの送受信を実行する。この所定の命令には、MFP101が持つWebページデータの取得命令も含まれている。
【0137】
これにより、PC102及びPC104は、ユーザの操作に応じて、ネットワーク経由でMFP101のWebサーバソフトウェア219にアクセスすることが可能となる。例えば、PC102のWebブラウザを使用してMFP101のWebサーバソフトウェア219によって公開されるWebページにアクセスすることにより、消耗品や機器情報の参照やネットワーク設定を行うことができる。
【0138】
このように認証VLANをMFPに応用することで、ユーザは例えばノートPCをMFPと同じ認証VLANに参加させることにより、双方の機器を通信可能に接続させ、ハブ設定等の煩雑な作業を行うことなく、容易に任意のMFPにアクセスできる。
【0139】
更にMFPとPCとを認証VLANに基づき接続するので、例えば双方の機器のIPアドレス及びMACアドレスの設定を行うことにより、任意のPCをMFPに接続できてしまうという事態を回避でき、セキュリティを向上させることも出来る。
【0140】
[第4の実施形態]
上記各実施形態では、認証サーバ107を、スイッチ装置である認証VLAN対応スイッチとは別に、設定するシステムを示した。しかし、この認証サーバ107の機能を、各VLAN対応スイッチに組み込む形態も想定される。この場合には、上記各実施形態で、各画像形成装置が認証サーバ107に認証要求を行っていたのに対し、各画像形成装置が接続される認証VLAN対応スイッチに認証要求を行うことになる。
【0141】
即ち、MFP、プリンタ等の画像形成装置が、通信可能範囲を変更すべく、認証要求を行う要求先は、認証サーバ107に限らず、様々な装置を適用することができる。
【0142】
[その他の実施形態]
また、本発明の目的は、以下のようにすることによって達成されることはいうまでもない。即ち、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体(または記憶媒体)を、システムあるいは装置に供給する。そして、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読み出し実行する。この場合、記録媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記録した記録媒体は本発明を構成することになる。
【0143】
また、コンピュータが読み出したプログラムコードを実行することにより、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているオペレーティングシステム(OS)などが実際の処理の一部または全部を行う。その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0144】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張カードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれたとする。その後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0145】
本発明を上記記録媒体に適用する場合、その記録媒体には、先に説明したフローチャートに対応するプログラムコードが格納されることになる。
【図面の簡単な説明】
【0146】
【図1】本発明の第1の実施形態に係るシステムの構成例を示す図である。
【図2】MFP101のハードウェア構成を示すブロック図である。
【図3】4ポートのVLAN対応スイッチ301とそれに接続されるノードを示す図である。
【図4】アクセスリンクを4ポートを有し、それぞれのポートにPC及びMFPが接続されているVLAN対応スイッチを2つ繋げた場合の構成を示す図である。
【図5】IEEE802.1Qのパケット構造を示す図である。
【図6】2つのPCと1つのプリンタとDHCPサーバ、認証サーバがVLAN対応スイッチに接続されている構成を示す図である。
【図7】登録ユーザIDに対応するパスワードと所属VLANとを関連付けて登録したテーブルの構成例を示す図である。
【図8】MFP101が有するパネル206に表示される標準認証VLAN設定画面の表示例を示す図である。
【図9】MFP101の電源が投入され、認証VLANにログインする為に、MFP101、認証VLAN対応スイッチ108、認証サーバ107のそれぞれが行う処理のフローチャートを示す図である。
【図10】イーサネット(登録商標)に接続されているノードの所属VLANとIPアドレスとの関係を記したテーブルの構成例を示す図である。
【図11】登録ユーザIDに対応するパスワード、所属VLAN、割り当てるIPアドレスが登録されたテーブルの構成例を示す図である。
【図12】MFP101を起動した後で、MFP101を標準VLAN以外の認証VLANにログインさせる場合に、MFP101が行う処理のフローチャートを示す図である。
【図13】割り込みログインの操作画面の表示例を示す図である。
【図14】図15に例示する画面を用いてログインする場合に、MFP101が行う処理のフローチャートを示す図である。
【図15】割り込みログインのタイマ予約設定画面の表示例を示す図である。
【図16】認証サーバ107のハードウェア構成を示すブロック図である。
【図17】認証VLANにログインしたMFP101の第1処理例のフローチャートを示す図である。
【図18】認証VLANにログインしたMFP101の第2処理例のフローチャートを示す図である。
【技術分野】
【0001】
本発明は、仮想ネットワークに関し、特に、VLAN技術に関するものである。
【背景技術】
【0002】
現在の屋内ネットワークの主流であるLAN(Local Area Network)はパーソナルコンピュータの普及に伴い発展してきた。それ以前は一台のホストコンピュータに複数台のターミナルが接続され、処理自体はホストコンピュータ上で行なうタイムシェアリングシステムが採用されていた。
【0003】
多種多様化されたプロトコルが伝達されるLANでは、各環境に物理的に配置されたLANを仮想的に細分化する仮想LAN(Virtual LAN、VLAN)によりプリンタとパーソナルコンピュータとが接続されるようになっている。
【特許文献1】特開2004−102914号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、例えば会議室や商談スペースといった不特定多数の一般者が使用する場所に設置されたプリンタやMFPは、その用途から不特定者がアクセス可能なパブリックな設定のネットワーク環境に接続していることが多い。そのような場合、パブリックなネットワーク環境における通信範囲はセキュリティの関係上、固定的且つ限られた範囲に限定されるケースが多い。例えば、ユーザ所望の別のネットワーク環境に、アクセスができない場合が想定される。その結果、例えば、任意のユーザが会議の際にMFPを使用して特定のネットワーク上にあるサーバにSendや参照プリントを行ないたい場合でも、接続できないという問題が発生する。
【0005】
本発明は以上の問題に鑑みてなされたものであり、複合機やプリンタといった画像形成装置に認証機能を設け、該認証機能により通信範囲をユーザ所望の範囲に変更でき、利便性を向上させることを目的とする。
【課題を解決するための手段】
【0006】
本発明の目的を達成するために、例えば、本発明の画像形成装置は以下の構成を備える。
【0007】
即ち、接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置であって、複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求手段と、前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段とを備えることを特徴とする。
【発明の効果】
【0008】
本発明の構成により、複合機やプリンタといった画像形成装置に認証機能を設け、該認証機能により通信範囲をユーザ所望の範囲に変更でき、利便性を向上させることができる。
【発明を実施するための最良の形態】
【0009】
以下、添付図面を参照して、本発明を好適な実施形態に従って詳細に説明する。
【0010】
[第1の実施形態]
図1は、本実施形態に係るシステムの構成例を示す図である。本実施形態に係るネットワークはEthernet(登録商標)であり、複数のノードが接続されている。更に、本実施形態に係るネットワークは例えば1Fに設けられているサブネットワークと2Fに設けられているサブネットワークとで構成されている。
【0011】
1Fのサブネットワークには、MFP(複合機)101、PC(パーソナルコンピュータ)102、103とが接続されている。また、DHCPサーバ(ネットワーク設定発行サーバ)106、認証VLANへのアクセス認証を行なうための認証部として機能する認証サーバ107も接続されている。これらのノードは認証VLAN対応スイッチ108の各々のアクセスリンクポートに接続されている。2Fのサブネットワークには、PC104、105が接続されており、これらのノードは認証VLAN対応スイッチ109の各々のアクセスリンクポートに接続されている。そして認証VLAN対応スイッチ108と認証VLAN対応スイッチ109とは、互いのトランクポートによって接続されている。各ノードの動作や構成、役割については後述する。
【0012】
以下では、仮想ネットワークとして、認証VLANを例に説明を行っていく。しかし、仮想VLAN(認証VLAN)には限定されず、例えば、VPN(Virtual Private Network)等、接続時に使用者の認証処理が必要な仮想ネットワークであれば適用することができる。また、認証処理により機器が接続された使用者所望の仮想ネットワークのことを注目仮想ネットワークと呼ぶ。
【0013】
図2は、仮想ネットワークに接続可能なMFP101のハードウェア構成を示すブロック図である。
【0014】
210はNVRAM(不揮発性メモリ)である。
【0015】
201はCPUで、RAM203やROM202に格納されているプログラムやデータを用いてMFP101全体の制御を行うと共に、MFP101が行う後述の各処理を実行する。
【0016】
202はROMで、MFP101全体の制御をCPU201に実行させるためのプログラムやデータ等を格納する。これらのプログラムやデータはCPU201による制御に従って適宜RAM203にロードされ、CPU201による処理対象となる。
【0017】
203はRAMで、ネットワークインターフェースカード211やスキャナコントローラ213、パネルコントローラ207を介して外部から受信したデータを一時的に記憶するためのエリアを有する。更にRAM203は、ディスクコントローラ209を介してハードディスクドライブ208からロードされたプログラムやデータを一時的に記憶するためのエリアを有する。更にRAM203には、CPU201がこれら各種のプログラムやデータを用いて処理を実行する際に用いるワークエリアも有する。このように、RAM203は、様々な情報を一時的に記憶するためのエリアを適宜提供することができる。
【0018】
211はネットワークインターフェースカードで、本MFP101を上記イーサネット(登録商標)110に接続するためのインターフェースとして機能するものである。MFP101はこのネットワークインターフェースカード211を介して、イーサネット(登録商標)110に接続されている各種の機器とのデータ通信を行うことができる。
【0019】
214はスキャナで、紙などの記録媒体上に記録されている情報を画像信号として読み取る。スキャナ214の駆動制御はスキャナコントローラ213により行われており、この駆動制御によりスキャナ214が読み取った画像信号はスキャナコントローラ213により画像データとしてRAM203やハードディスクドライブ208に出力される。
【0020】
204はプリンタエンジンで、エンジンコントローラ205を介して受けたデータに基づいて、紙などの記録媒体上に画像や文字などをプリントする。プリンタエンジン204の駆動制御はエンジンコントローラ205により行われている。
【0021】
206はパネルで、例えばタッチパネル式の液晶画面により構成されており、本MFP101の操作者が自身の指などでもって画面上を指示することで、各種の指示を入力することができる。更に、パネル206の表示画面上には、各種の情報を表示することができ、例えば、印刷設定画面やスキャン設定画面などを表示することができる。パネル206におけるパネル206の駆動制御はパネルコントローラ207により行われる。
【0022】
208はハードディスクドライブである。ここには代表的なものとして、OS(オペレーティングシステム)215が保存されている。また、周辺機器に関する情報のデータベースであるMIB218(Management Infomation Base)が保存されている。また、MFP101全体の制御をCPU201に実行させるためのソフトウェアである複合機制御ソフトウェア216が保存されている。また、後述する認証VLANにアクセスするためのソフトウェアである認証VLANログインエージェント217が保存されている。これらのプログラムやデータはCPU201による制御に従って適宜RAM203にロードされ、CPU201による処理対象となる。
【0023】
Webサーバソフトウェア219(ウェブサーバとも呼ぶ)はMFP101がWebサーバとなるためのソフトウェアである。外部ノードはネットワークを経由してWebサーバにアクセスすることにより、Webサーバソフトウェアによって公開されるWebページを自装置のWebブラウザに表示することが可能となる。なお、Webサーバソフトウェア219が公開するWebページには、MFP101の消耗品や機器情報の参照やネットワーク設定を可能とするページが含まれているものとする。消耗品とはトナーや用紙であり、機器情報は製品名称やオプション機器の種別を意味するものである。FTPクライアントソフトウェア220はFTPプロトコル(File Transfer Protocol)を用いてFTPサーバにファイルを送信するためのソフトウェアである。スキャナ214によってスキャニングされたデータはスキャナコントローラ213によって複合機制御ソフトウェア216に転送される。複合機制御ソフトウェアは画像処理を施した後、ハードディスクドライブ208にデータとして保持される。保持されたデータは適宜FTPクライアントソフトウェア220によってネットワークを経由してFTPサーバに送信される。
【0024】
なお、ここでハードディスクドライブ208に保存されているものとして説明したものは一例である。これ以外のプログラムやデータ、例えば、MFP101が行う処理として以下説明する各処理をCPU201に実行させるためのプログラムやデータもまた、このハードディスクドライブ208に保存されている。
【0025】
212は同図に示す如く、上述の各部を繋ぐシステムバスである。
【0026】
図16は、認証部として機能する認証サーバ107のハードウェア構成を示すブロック図である。
【0027】
1601はCPUで、RAM1602やROM1603に格納されているプログラムやデータを用いて認証サーバ107全体の制御を行うと共に、認証サーバ107が行う後述の各処理を実行する。
【0028】
1602はRAMで、外部記憶装置1606からロードされたプログラムやデータ、I/F(インターフェース)1607を介して外部から受信したデータなどを一時的に記憶するためのエリアを有する。更に、RAM1602は、CPU1601が各種の処理を実行する際に用いるワークエリアなどを有する。このように、RAM1602は、各種の記憶エリアを適宜提供することができる。
【0029】
1603はROMで、認証サーバ107の設定データやブートプログラムなどを格納する。
【0030】
1604は操作部で、キーボードやマウスなどにより構成されており、認証サーバ107の操作者が操作することで、各種の指示を入力することができる。
【0031】
1605は表示部で、CRTや液晶画面などにより構成されており、CPU1601による処理結果を画像や文字などでもって表示することができる。
【0032】
1606は外部記憶装置で、ハードディスクドライブ装置に代表される大容量情報記憶装置である。ここにはOS(オペレーティングシステム)や、認証サーバ107が行う後述の各処理をCPU1601に実行させるためのプログラムやデータが保存されている。そしてこれらのプログラムやデータは、CPU1601による制御に従って適宜RAM203にロードされる。そしてCPU1601がこのロードされたプログラムやデータを用いて処理を実行することで、CPU1601は、認証サーバ107が行う後述の各処理を実行することになる。
【0033】
1607はI/Fで、認証サーバ107を上記イーサネット(登録商標)110に接続するためのものであり、認証サーバ107はこのI/F1607を介して上記イーサネット(登録商標)110に接続されている各種の機器とのデータ通信を行う。
【0034】
1608は上述の各部を繋ぐバスである。
【0035】
次に、本実施形態に係る認証VLANにおけるVLAN通信方法と認証方法とノードのVLAN割り当て方法について説明していく。まず、認証を行なわない一般的なVLAN(静的VLAN)について、図3乃至5を用いて説明する。
【0036】
認証VLANの仕組みは静的VLANの技術を拡張して成り立っているため、静的VLANの実現方法を先に説明する。図3は4ポートのVLAN対応スイッチ301とそれに接続されるノードを示す図である。ポート1にはプリンタ302が接続され、ポート2にはPC303が接続され、ポート3にはプリンタ304が接続され、ポート4にはPC305が接続されている。
【0037】
VLAN対応スイッチ301はレイヤ2スイッチがベースとなっていて、それにVLANの機能を付加したものである。VLAN対応スイッチ301、自装置の各ポートにブロードキャストドメインを割り当てることが可能である。スイッチはポートからブロードキャストを受信すると、そのポートに割り当てられたブロードキャストドメインと同じポートにのみ、ブロードキャストパケットを転送する。この割り当てられたブロードキャストドメインがVLANに相当する。例えば、ポート1、2にVLAN−3aが割り当てられ、ポート3、4にVLAN−3bが割り当てられているものとする(VLAN−3a及びVLAN−3bは識別しやすくするために設けた呼称である)。
【0038】
この場合、プリンタ302が送出し、ポート1が受信したブロードキャストパケットは、同一VLANであるポート2のみに転送され、プリンタ304が送出し、ポート4が受信したブロードキャストパケットは、ポート3にのみ転送される。即ち、ポート1、2のパケットはポート3、4に転送されることはなく、またその逆もない。LANの管理者はレイヤ2スイッチにブロードキャストドメインの設定を行なうことでLANを仮想的に分割することが可能である。各々のポートの所属VLANはVLAN対応スイッチ301を操作して管理者が自由に設定することが可能である。
【0039】
次に、複数のVLAN対応レイヤ2スイッチを用いて、複数のスイッチをまたがったVLANを構成する場合の手法について図4及び図5を用いて説明する。スイッチ間でVLAN環境を共有するには、トランクリンクという手法が存在する。本実施形態でのスイッチ間のVLAN構成はこのトランクリンクによるものである。トランクリンクとは、複数のVLANのトラフィックを転送することができるポートのことであり、このポートを用いてレイヤ2スイッチ間を流れるパケットには、そのパケットがどのVLANに属するかを識別するための情報が付加される。
【0040】
送信側レイヤ2スイッチはVLAN識別情報を付加してパケットを送信し、受信したレイヤ2スイッチはVLAN識別情報を参照することで、パケットの転送先ポートを識別することが可能である。このVLAN識別情報の規格としては、IEEE802.1Qと呼ばれる標準規格と、ベンダ独自の規格が存在する。本実施形態においては、IEEE802.1Qを使用した通信を採用しているものとする。IEEE802.1Qはトランクリンク上でVLANを識別する識別情報を付加するためのプロトコルである。そのパケット構造はイーサネット(登録商標)フレームを拡張したような構成になっている。IEEE802.1Qのパケット構造を図5に示す。
【0041】
IEEE802.1QでのVLAN識別情報は、フレームの送信元MACアドレスとタイプの間の位置に挿入される形である。挿入される情報は、2バイトのTPIDと2バイトのTCIの合計4バイトである。また、この4バイトが挿入されることによってフレームのCRCの計算方法がイーサネット(登録商標)とは異なる。VLAN対応レイヤ2スイッチはアクセスリンクポートに受信したイーサネット(登録商標)フレームをトランクリンクに転送する際には、これらの情報を挿入して転送する。またトランクリンクから入力されたIEEE802.1Qフレームは、これらの情報が取り除かれた形で対応するVLANのアクセスリンクポートに転送される。ここで図4のような構成を考える。
【0042】
図4は、アクセスリンクを4ポートを有し、それぞれのポートにPC及びMFPが接続されているVLAN対応スイッチを2つ繋げた場合の構成を示す図である。同図に示す如く、アクセスリンクが4ポートのVLAN対応スイッチ401が存在し、ポート1にはMFP403が接続され、ポート2にはPC404が接続され、ポート3にはPC405が接続され、ポート4にはPC406が接続されている。また、アクセスリンクが4ポートのVLAN対応スイッチ402が存在し、ポート1にはPC407が接続され、ポート2にはPC408が接続され、ポート3にはPC409が接続され、ポート4にはPC410が接続されている。そしてVLAN対応スイッチ401にはトランクリンクポート411があり、VLAN対応スイッチ402にはトランクリンクポート412が存在する。トランクリンクポート411とトランクリンクポート412はストレートEthernet(登録商標)ケーブルによって接続されている。
【0043】
ここで、VLAN対応スイッチ401のポート1、2にVLAN−4aが割り当てられ、ポート3、4にVLAN−4bが割り当てられているものとする。また、VLAN対応スイッチ402のポート1、2にVLAN−4aが割り当てられ、ポート3、4にVLAN−4bが割り当てられているものとする(VLAN−4a及びVLAN−4bは識別しやすくするために設けた呼称である)。この場合、MFP403が送出し、VLAN対応スイッチ401のポート1が受信したブロードキャストパケットは、VLAN対応スイッチ401によって同一VLANであるポート2に転送される。異なるVLANであるVLAN対応スイッチ401のポート3及びポート4に転送されることはない。
【0044】
同時にVLAN対応スイッチ401は、ポート1が受信したブロードキャストパケットをトランクリンクポート411に転送する。その際にVLAN対応スイッチ401は、Ethernet(登録商標)フレームをIEEE802.1Qフレームに変更する処理を行う。VLAN対応スイッチ401はTPID情報(0x8100)と12ビットのVLAN識別情報を含むTCIをイーサネット(登録商標)フレームに挿入し、CRCを再計算してトランクリンクポート411からIEEE802.1Qフレームを送出する。VLAN対応スイッチ402はトランクリンクポート412でVLAN対応スイッチ401が送出したIEEE802.1Qフレームを受信する。
【0045】
そしてVLAN対応スイッチ402はIEEE802.1QフレームからTPID情報及びTCI情報を抜き、CRCを再計算したイーサネット(登録商標)フレームをアクセスリンクポートに転送する。その際に転送するポートは、VLAN−4aが割り当てられているポート、即ちポート1及びポート2である。VLAN対応スイッチ402は受信したIEEE802.1QフレームのTCI情報を参照することで転送先のアクセスリンクポートを判断する。あるノードから送出されたイーサネット(登録商標)フレームが異なるVLANが登録されたアクセスリンクポートに転送されることはない。
【0046】
次に図6を用いて、本実施形態における認証VLANへのアクセス要求動作と、VLAN決定動作について説明する。図6は、2台PCと1台のプリンタ、DHCPサーバ、認証サーバがVLAN対応スイッチに接続されている構成を示す図である。
【0047】
同図に示す如く、認証VLAN対応スイッチ601は8ポートのアクセスリンクを有しており、ポート1にはPC602が接続され、ポート2にはプリンタ603が接続され、ポート3にはPC604が接続されている。ポート4にはDHCPプロトコルでIPアドレス等のネットワークコンフィギュレーション情報を配布するDHCPサーバ605が接続されており、ポート5には認証サーバ606が接続されている。
【0048】
認証VLAN対応スイッチ601にはVLAN−6a、VLAN−6b、デフォルトVLANの3種類のVLANが存在しており、プリンタ603は現在VLAN−6aに所属し、PC604は現在VLAN−6bに所属している。DHCPサーバ605及び認証サーバ606はデフォルトVLANに所属している。デフォルトVLANとは、認証が行なわれる前のノードが所属するVLANであり、ここに所属するノードはDHCPサーバ605及び認証サーバ606とは通信が可能であるが、認証後のノードとは隔離されている。
【0049】
認証VLAN対応スイッチ601は電源投入後の認証が行なわれていないノードをこのVLANに所属させる。VLAN−6aとVLAN−6b間のルーティングは行なっていないものとする。ここで、PC602が認証VLANに参加することを考える。
【0050】
PC602の電源が投入されると、PC602は自装置のHDD(ハードディスクドライブ)に格納されているオペレーティングシステムをロードする。オペレーティングシステムは起動中に自装置のIPアドレスやサブネットマスクといったネットワークコンフィギュレーションを行なうが、ここではDHCPを用いる。PC602はDHCPリクエストを送出してDHCPサーバ605からネットワーク情報を受け取る。オペレーティングシステムが起動すると、その上でVLAN認証エージェントが起動する。このソフトウェアは、PC602を使用するユーザの認証を行なうため、操作者にユーザ認証を促す。
【0051】
PC602の操作者は、VLAN認証エージェントの画面に表示された登録ユーザIDとパスワード入力欄に自身の登録ユーザIDとパスワードを入力する。ユーザから登録ユーザIDとパスワードの入力があったら、VLAN認証エージェントは認証サーバ606に対して認証リクエストを発行する。認証サーバ606のIPアドレスは予めわかっているものとする。
【0052】
認証サーバ及びプロトコルは、本実施形態においては、RADIUS(Remote Authentication Dial−In User Service)が採用されているものとする。RADIUSとは、元々はリモートアクセスサーバのユーザ認証のために開発されていたプロトコルである。今ではLAN内での認証にも使用されることが多く、認証機能を有するVLANにおいても使用されるプロトコルである。RADIUSパケットの構造は、大まかには、識別コード部と属性ペアに分類される。他の情報も含まれるがここでは割愛する。識別コード部とは、オペレーション種別が含まれる。これにはオペレーション要求、アクセス許可、アクセス拒否、等が存在する。属性ペア部とは、RADIUSプロトコルで定義された各種の属性とその値を記載するエリアである。属性とは、認証サーバまたは認証クライアントが必要とする情報であり、種類によって属性値が定義されている。たとえばアクセス要求で使用するユーザ名は、User−Name(1)と定義されており、パスワードであればUser−Password(2)と定義されている。
【0053】
PC602は認証サーバ606にRADIUSの認証要求を送出する。送出されたパケットは認証VLAN対応スイッチ601がアクセスリンクのポート1で受信する。認証VLAN対応スイッチ601はそのパケットを認証サーバ606が接続しているポートに転送する。認証サーバ606はパケットを受信する。認証サーバ606上で動作しているソケットプログラムモジュールは、受信したパケットの送信先ポートがRADIUSの認証ポートであることから、UDPパケットデータを認証サーバ606内のRADIUSの実行モジュールに渡す。以後、認証サーバ606内のRADIUSの実行モジュールを、RADIUSモジュールと呼ぶ。RADIUSモジュールは受信データの識別コードを参照し、値が認証要求であることを判断する。そして属性ペア部に含まれるユーザ名とパスワードとを参照し、それが自身が管理する認証テーブルに適合するか否かを判断する。ここでRADIUSモジュールの認証テーブルにPC602の操作者のユーザ名が登録されていて、且つパスワードも操作者が入力したものと同値であるならば、認証に成功したと判断し、RADIUSモジュールはアクセス許可のリプライを返す。RADIUSモジュールの認証テーブルとは、例えば図7で示されるような構成を有するテーブルである。
【0054】
図7は、登録ユーザIDに対応するパスワードと所属VLANとを関連付けて登録したテーブルの構成例を示す図である。これらの情報は認証サーバ606の外部記憶装置1606にデータとして保存されているが、実際にはパスワード情報などは暗号化されている。行701には、ユーザ名「Yamada」に対するパスワードと所属VLANとが登録されており、パスワードは「1234XYZ」、所属VLANは「VLAN−6a」である。行702には、ユーザ名「Shimizu」に対するパスワードと所属VLANとが登録されており、パスワードは「abcabc」、所属VLANは「VLAN−6b」である。
【0055】
RADIUSモジュールは、受信したRADIUSパケットのUser−Name(1)属性とUser−Password(2)とを参照し、上記テーブルと比較する。その結果、ユーザ名が存在し、且つパスワードも正しければ認証成功である。ユーザ名が存在しなかったり、パスワードがミスマッチしたりしている場合には認証失敗とみなされる。RADIUSモジュールは認証の結果を返信する。認証失敗ならばAccess−Rejectコードを返し、認証成功ならばAccess−Acceptコードを返す。Access−Acceptコードを返す場合、RADIUSモジュールはPC602の操作者が所属するVLAN情報をリプライパケットに付加して送信する。たとえば、PC602の操作者がYamadaであった場合にはVLAN−6aを返し、PC602の操作者がShimizuであった場合にはVLAN−6bを返す。
【0056】
RADIUSモジュールは認証テーブルを参照することにより、操作者が所属するVLANを判別して、情報を付加する。付加される場所は属性ペア部であり、その属性値は26(Vender−Specific)であるものとする。RADIUSモジュールは操作者の登録ユーザIDに対応する所属VLANを表す識別子を属性値として付加してPC602に送出する。送出されたパケットは認証VLAN対応スイッチ601のポート5が受信する。
【0057】
認証VLAN対応スイッチ601は宛先MACアドレスを参照し、それがPC602のアドレスであることからPC602が接続されているポート1にパケットを転送する。その際に、認証VLAN対応スイッチ601はパケットの識別コード部及び属性ペア部を参照することにより、PC602が認証に成功し、且つPC602が所属するVLANを判別する。例えば、PC602の操作者がYamadaであるならば、PC602に対応するVLANはVLAN−6aであるものと判断する。その後、認証VLAN対応スイッチ601はPC602が接続されるポートをVLAN−6aとして動作させる。これにより、PC602はVLAN−6aに所属したことになり、プリンタ603と通信することが可能となる。以上が一般的な認証VLANの構成と動作である。これは認証VLANを構成する手段の一例であり、他の手法としては例えば、IEEE802.1xの規格に準じるといった構成が考えられる。
【0058】
本実施形態、及び後述する第2の実施形態においては、上述のような認証VLANの構成や通信動作が基本となっているものとする。そして、その前提のもと、以下では本実施形態に係るMFP101の動作について説明する。図8はMFP101が有するパネル206に表示される標準認証VLAN設定画面の表示例を示す図である。
【0059】
MFP101は、MFP101の管理者や利用者に対してMFP101の各種設定を行なうことが可能なUI(User Interface)を提供している。MFP101の管理者や利用者はパネル206に表示される各種設定項目に設定情報を入力することができ、これにより、MFP101にその環境に適応する動作(設定処理)を行なわせることができるようになる。
【0060】
ここでの設定項目とは例えば、MFP101のネットワーク情報や印刷品質情報、MFP101のニックネームや時間情報といったものが挙げられる。ここで、MFP101の管理者は、MFP101を図1記載の環境に適合させるため、MFP101のIPアドレス設定をDHCPによる取得設定とする。またMFP101のデフォルトVLAN設定を図8と同様の画面を用いて行なう。なお、以下の説明ではデフォルトVLANの表記を用いて説明を行うが、デフォルトVLANは、画像形成装置が認証サーバ107にアクセスできるネットワーク環境を提供できれば事足りる。従って、デフォルトVLANは、認証VLANであっても、そうでなくても、双方を適用することができる。
【0061】
ここで、標準認証VLANとは、MFP101の通常状態でログインしている認証VLANのことである。これに対して、デフォルトVLANは標準認証VLANにネットワーク環境を設定する為の、認証サーバ107と通信を行う為のものである。また、デフォルトVLANが認証VLANにより構築されている場合には、標準認証VLANとデフォルト認証VLANの設定が等しくしても良い。そして、MFP101の標準認証VLAN設定は図8に示されるように3種類の項目から構成される。
【0062】
ボタン画像801、802は、MFP101が認証VLANへのアクセスを行なうか否かを設定する為に指示するものである。MFP101が設置される環境に認証VLANが導入されていない場合には、「No」ボタン802を指示する。これにより、MFP101の認証VLAN機能は無効となる。一方、「YES」ボタン画像801を指示した場合には、MFP101が認証VLANへのアクセス要求を行なうことを意味している。以下の説明では、「YES」ボタン画像801が指示されたものとする。
【0063】
803は、後述の認証サーバ107に対して認証VLANのアクセス要求を発行する際に、この要求に含めて認証サーバ107に送出するログインID(登録ユーザID)を入力する為の領域である。
【0064】
804は、後述の認証サーバ107に対して認証VLANのアクセス要求を発行する際に、この要求に含めて認証サーバ107に送出するパスワードである。上述のとおり、認証サーバ107は、受信したログインIDとパスワードとのセットが自身に登録されているか否かをチェックすることで、認証の可否を決定するので、領域803、804に入力するものは、予めセットにして発行されたものを入力する必要がある。
【0065】
なお、図8に示した画面を含め、各種の表示画面に係るプログラムやデータは、ROM202やハードディスクドライブ208に保存されている。そして保存されたデータをRAM203にロードするなどし、これを用いてCPU201が処理を実行することにより、MFP101が有するパネル206には、対応する画面が表示されることになる。また、この画面を用いて各種の設定を行うことができる。
【0066】
次に、MFP101の電源が投入され、標準認証VLANにログインする為に、MFP101、認証VLAN対応スイッチ108、認証サーバ107のそれぞれが行う処理について、同処理のフローチャートを示す図9を用いて説明する。なお、同図においてそれぞれの装置が行う部分を、それぞれの装置に行わせるためのプログラムやデータは、それぞれの装置が有するメモリに保持されている。そして、それぞれの装置が有するCPUが自身の装置が有するメモリに保持されているプログラムやデータを用いて処理を実行することで、各装置は同図のフローチャートに従った処理を実行することになる。CPUは相当するプロセッサで代替できる。
【0067】
例えば、MFP101の場合、MFP101が行う処理部分(S901、S902、S904〜S906、S916、S917)をCPU201に実行させるためのプログラムやデータはハードディスクドライブ208に保存されている。これをCPU201による制御に従って適宜RAM203にロードし、これを用いてCPU201が処理を実行することで、MFP101は、S901、S902、S904〜S906、S916、S917の各処理を実行することになる。
【0068】
また、認証サーバ107の場合、認証サーバ107が行う処理部分(S908〜S911)をCPU1601に実行させるためのプログラムやデータは外部記憶装置1606に保存されている。これをCPU1601による制御に従って適宜RAM1602にロードし、これを用いてCPU1601が処理を実行することで、認証サーバ107は、S908〜S911の各処理を実行することになる。
【0069】
S901でMFP101の電源が投入されると、CPU201はROM202に格納されている各種のプログラムやデータを用いて、MFP101を構成している各部を起動すると共に、必要なソフトウェアプログラムやデータをRAM203にロードする。
【0070】
次にS902では、CPU201は、イーサネット(登録商標)リンクの確立のための処理を実行する。より詳しくは、CPU201はネットワークインターフェースカード211を制御し、イーサネット(登録商標)110に対してリンクの確立処理を行なう。確立が行なわれたら、認証VLAN対応スイッチ108は、S903において、MFP101が接続しているポートのVLANをデフォルトVLANに切り替える。このようにすることで、MFP101のブロードキャストドメインはデフォルトVLANに割り当てられたノードのみになる。
【0071】
なお、起動時に予め定められたネットワーク環境への接続要求を行い、このネットワーク環境において認証サーバ107との通信を行うのであれば、本ステップにおける処理は適宜変形例が考えられる。
【0072】
ここで、イーサネット(登録商標)110に接続されているノードの所属VLANとIPアドレスについて図10を用いて説明する。
【0073】
本実施形態では、イーサネット(登録商標)110には3種類のVLANが存在しており、その実現は認証VLAN対応スイッチ108及び認証VLAN対応スイッチ109によって行なわれている。
【0074】
同図に示す如く、VLAN−10AにはPC102、104が所属している。PC102のIPアドレス及びサブネットマスクは222.111.0.1/24である。PC104のIPアドレス及びサブネットマスクは222.111.0.10/24である。VLAN−10BにはPC103及びPC105の2台が接続されており、PC103のIPアドレス及びサブネットマスクは111.111.0.5/24である。PC105IPアドレス及びサブネットマスクは111.111.0.15/24である。デフォルトVLANは基本的に認証前のノードが所属している仮のVLANであるが、デフォルトVLANで動作するためのIPアドレスの供給を受けるためのDHCPサーバ106及び認証を行なう認証サーバ107が所属している。DHCPサーバ106のIPアドレス及びサブネットマスクは10.0.0.2/24である。認証サーバ107のIPアドレス及びサブネットマスクは10.0.0.12/24である。
【0075】
このように、3種類のVLANは認証VLAN対応スイッチ108及び認証VLAN対応スイッチ109によってOSI第二階層によって仕切られていることに加えて、IPも異なるネットワークに所属していることがわかる。上記S903におけるデフォルトVLANの割り当て処理は、割り当てられたこと自体はMFP101に対しては通知されない。しかしMFP101はイーサネット(登録商標)110へのリンクが可能になった時点で、イーサネット(登録商標)を使用することが可能であると判断する。
【0076】
図9に戻って、次に、S904では、MFP101は、DHCPリクエストをDHCPサーバ106に対して発行し、MFP101のIP情報の取得を行なう。MFP101はDHCPパケットを送出するが、その際のDHCPプロトコルのオペレーションコードはBOOTREQUEST(1)である。MFP101はこのDHCPリクエストパケットをブロードキャストアドレス宛てに送出する。ここで認証VLAN対応スイッチ108はDHCPパケットを受信し、送信先MACアドレスがブロードキャストアドレスであることから、MFP101が所属するVLANのブロードキャストドメインにパケットを転送する。MFP101が所属するVLANであるデフォルトVLANのブロードキャストドメインにはDHCPサーバ106が接続されている。そのため、DHCPサーバ106はMFP101が送出したDHCPリクエストを受信し、DHCPサーバ106内の設定に従ったネットワーク情報を割り当てた返信パケットをMFP101に対して返信する。該返信は、何らかの通信異常やDHCPサーバの不正処理がない場合が勿論前提である。
【0077】
ここで割り当てるIPアドレスは、デフォルトVLANのネットワークに含まれるアドレスであるものとする。返信パケットをなんらかの障害や異常処理によってMFP101が受信することができなかった場合、MFP101はIPアドレスを取得することができず、他のノードとIP通信を行うことができないため、これ以上処理を続行することはできない。例えばMFP101が所定時間以上、返信パケットの受信を検知しなかった場合には、処理をS905を介して本処理を終了(不正終了)する。
【0078】
一方、MFP101が返信パケットの受信を検知した場合には処理をS905を介してS906に進め、MFP101は認証サーバ107に対して標準認証VLANへのアクセス要求を行う。CPU201による制御に従ってハードディスクドライブ208からRAM203にロードされた認証VLANログインエージェント217をCPU201が実行すると、認証サーバ107に対して認証リクエストを発行する処理を行う。この認証リクエストにはMFP101の管理者または利用者が図8のGUIを用いて設定した標準認証VLANの登録ユーザID及びパスワードを含む各種の情報が含められる。
【0079】
ここで認証サーバ107のIPアドレスは予め管理者によって設定されており、MFP101はそのアドレス値をMIB218のオブジェクトとして保持しているものとする。認証サーバ107の種類及びプロトコルは、前述のようにRADIUSが採用されているものとする。
【0080】
RADIUSパケットの構造は、大まかには、識別コード部と属性ペアに分類される。他の情報も含まれるがここでは割愛する。識別コード部とは、オペレーション種別が含まれる。これにはオペレーション要求、アクセス許可、アクセス拒否、等が存在する。属性ペア部とは、RADIUSプロトコルで定義された各種の属性とその値を記載するエリアである。属性とは、認証サーバまたは認証クライアントが必要とする情報であり、種類によって属性値が定義されている。たとえばアクセス要求で使用するユーザ名は、User−Name(1)と定義されており、パスワードであればUser−Password(2)と定義されている。
【0081】
MFP101は認証サーバ107にRADIUSの認証要求(パケット)を送出する。送出された認証要求は認証VLAN対応スイッチ108がMFP101が接続されたアクセスリンクポートで受信する。従ってS907では、認証VLAN対応スイッチ108はそのパケットを認証サーバ107が接続しているポートに転送する。
【0082】
S908では先ず、認証サーバ107はI/F1607を介してRAM1602にパケットを取得(受信)する。すると、認証サーバ107上で動作しているソケットプログラムモジュールが、受信したパケットの送信先ポートがRADIUSの認証ポートであることから、UDPパケットデータを認証サーバ107内のRADIUSモジュールに渡す。そして、RADIUSモジュールは受信データの識別コードを参照し、値が認証要求であることを判断する。
【0083】
そして属性ペア部に含まれるユーザ名とパスワードとを参照し、それが外部記憶装置1606からRAM1602にロードした認証テーブルに適合するか否かを判断する。ここでRADIUSモジュールの認証テーブルにMFP101の操作者のユーザ名が登録されていて、且つパスワードも操作者が入力したものと同値であるならば、認証に成功したと判断し、RADIUSモジュールはアクセス許可のリプライを返す。RADIUSモジュールの認証テーブルとは、例えば図11で示されるような構成である。
【0084】
図11は、登録ユーザIDに対応するパスワード、所属VLAN、割り当てるIPアドレスが登録されたテーブルの構成例を示す図である。これらの情報は認証サーバ107の外部記憶装置1606にデータとして保存されているが、実際にはパスワード情報などは暗号化されているものである。行1101には、登録ユーザID「Yoshida」に対するパスワード、所属VLAN、割り当てるIPアドレスが登録されている。同図では、登録ユーザID「Yoshida」に対するパスワードは「ABC0001」、所属VLANは「VLAN−10A」、割り当てるIPアドレスは「222.111.0.20」である。
行1102には、登録ユーザID「Kato」に対するパスワード、所属VLAN、割り当てるIPアドレスが登録されている。同図では、登録ユーザID「Kato」に対するパスワードは「Kato1234」、所属VLANは「VLAN−10B」、割り当てるIPアドレスは「111.111.0.25」である。
【0085】
RADIUSモジュールは受信したRADIUSパケットのUser−Name(1)属性とUser−Password(2)とを参照し、認証テーブルと比較する。その結果、受信したRADIUSパケットから取得した登録ユーザIDとパスワードのセットが、認証テーブルに登録されていた場合には、認証成功である。一方、受信したRADIUSパケットから取得した登録ユーザIDとパスワードのセットが、認証テーブルに登録されていない場合には、認証失敗とみなされるので、処理をS908を介してS909に進める。そして、認証失敗メッセージ(Access−Rejectコード)を返す。
【0086】
一方、認証成功ならば処理をS908を介してS910に進め、RADIUSモジュールはRADIUSモジュールの認証テーブルを参照し、MFP101の操作者が所属するVLAN情報を判断する。そしてS911で、認証サーバ107はMFP101の操作者が所属するVLAN情報をリプライパケットに付加し、認証成功メッセージ(Access−Acceptコード)と共に応答送信する。
【0087】
たとえば、MFP101の操作者がYoshidaであった場合にはVLANを表す識別子として「VLAN−10A」、対応するIPアドレスとして「222.111.0.20」を返す。MFP101の操作者がKatoであった場合にはVLANを表す識別子として「VLAN−10B」、対応するIPアドレスとして「111.111.0.25」を返す。
【0088】
RADIUSモジュールは認証テーブルを参照することにより、操作者が所属するVLANを判別し、情報を付加する。付加される場所は属性ペア部であり、その属性値は26(Vender−Specific)であるものとする。RADIUSモジュールは操作者の登録ユーザIDに対応するVLANを表す識別子と、対応するIPアドレスを属性値(VLAN情報)として付加してMFP101に送出する。
【0089】
送出されたパケットは認証VLAN対応スイッチ108の認証サーバ107が接続されたアクセスリンクポートに受信される。従ってS912では、認証VLAN対応スイッチ108はパケットの識別コード部及び属性ペア部を参照することにより、MFP101が認証VLANのアクセス要求に対する認証に成功し、且つMFP101が所属するVLANが何であるかを識別する。
【0090】
例えば、MFP101の操作者がYoshidaあるならば、MFP101に対応するVLANはVLAN−10Aであるものと判断する。そしてS913では、認証VLAN対応スイッチ108は宛先MACアドレスを参照し、それがMFP101のアドレスであることからMFP101が接続されているアクセスリンクポートにパケットを転送する。その後、認証VLAN対応スイッチ108は認証に成功していた場合には処理をS914を介してS915に進め、MFP101が接続されるアクセスリンクポートをVLAN−10Aとして動作させる。これにより、MFP101はVLAN−10Aに所属したことになり、VLAN−10Aに所属するノードと通信することが可能になる。MFP101は認証VLAN対応スイッチ108からの返信を受け、所定の処理を行う。
【0091】
一方、認証VLAN対応スイッチ108からの返信が、認証失敗を表す情報であった場合には処理をS916に進め、認証VLANログインエージェント217は情報を解釈し、複合機制御ソフトウェア216に結果を伝達する。伝達方法についての具体的手法は明記しないが、ソフトウェアモジュール間でデータを伝達するための一般的な方法を採用しているものとする。たとえばプロセス間通信や内部関数呼び出しといった方法が採用されている。
【0092】
複合機制御ソフトウェア216は認証に失敗を示す通知を受信すると、パネル206に、標準認証VLANへのログインに失敗し、MFP101がネットワーク通信を行なうことが出来ないことを通知するエラーメッセージを表示する。
【0093】
一方、MFP101が受信した返信パケットが認証成功を表すものであった場合にはS915における処理の後、処理をS917に進める。そして認証VLANログインエージェント217は受信したパケットに含まれているIPアドレス情報を、複合機制御ソフトウェア216に伝達する。複合機制御ソフトウェア216は、OS215に所定の命令を通知することによって、MFP101のIPアドレスを認証サーバ107から通知されたIPアドレスに変更する。このようにMFP101のIPアドレスを認証サーバ107から通知されたIPアドレスに変更することによって、MFP101が所属するVLANでIP通信を行うことを可能としている。これで、MFP101の起動時の標準認証VLANログイン処理は終了となる。
【0094】
次に、MFP101が登録ユーザID「Yoshida」で認証VLANにログインした際に、イーサネット(登録商標)内でのパケットの伝達について説明する。MFP101がブロードキャスト宛てにIPパケットを送出した場合、まずパケットは、認証VLAN対応スイッチ108のMFP101が接続されているアクセスリンクポートで受信する。認証VLAN対応スイッチ108は、MFP101が接続されているアクセスリンクポートと同一のVLANに設定されているアクセスリンクポートにパケットを転送する。ここで、同一のVLANとは、MFP101の所属しているVLANはVLAN−10Aであるため、図10の対応表からPC102であることが分かる。認証VLAN対応スイッチ108はPC102が接続しているアクセスリンクポートに対してパケットを転送する。PC103やDHCPサーバ106、認証サーバ107は異なるVLANに所属しているため、これらに対しては認証VLAN対応スイッチ108はパケットの転送を行なわない。
【0095】
認証VLAN対応スイッチ108は同時に、自装置のトランクリンクポートからは認証VLAN対応スイッチ109に対してパケットを転送する。認証VLAN対応スイッチ108はIEEE802.1Qの規格に従ってVLAN情報を含めたパケットを認証VLAN対応スイッチ109に転送する。認証VLAN対応スイッチ108はまず、Ethernet(登録商標)フレームをIEEE802.1Qフレームに変更する処理を行う。認証VLAN対応スイッチ108はTPID情報(0x8100)と12ビットのVLAN識別情報を含むTCIをイーサネット(登録商標)フレームに挿入し、CRCを再計算してトランクリンクポートからIEEE802.1Qフレームを送出する。
【0096】
認証VLAN対応スイッチ109は、トランクリンクポートで認証VLAN対応スイッチ108が送出したIEEE802.1Qフレームを受信する。そして認証VLAN対応スイッチ109はIEEE802.1QフレームからTPID情報及びTCI情報を抜き、CRCを再計算したイーサネット(登録商標)フレームをアクセスリンクポートに転送する。その際に転送するポートは、VLAN−10Aが割り当てられているポート、即ちPC104が接続するポートである。認証VLAN対応スイッチ109は、受信したIEEE802.1QフレームのTCI情報を参照することで転送先のアクセスリンクポートを判断する。このようにして、MFP101が送出したIPパケットは同一VLANに所属するノードにのみ転送される。
【0097】
次に、MFP101を起動した後で、MFP101を標準VLAN以外の認証VLANにログインさせる場合に、MFP101が行う処理について、同処理のフローチャートを示す図12を用いて説明する。ここで、標準VLANとは、図9のフローチャートのS917に至る処理により、割り当てられた通信範囲とする。また、標準VLANとは、標準認証VLANのことを簡略化した表現であり、標準認証VLANを指す。
【0098】
S1201では、図9のフローチャートに従った処理によりMFP101が行う処理を実行する。次に、S1202では、図9のフローチャートに従った処理により、認証VLANへのログインが成功したか否かをチェックする。ここで標準VLANアカウントでの認証VLANへのログインに失敗している場合、MFP101はネットワーク通信を行うことが出来ないためこれ以上の処理を続行することが出来ない。そのためここで終了となる。即ち、S1202を介して本処理を終了する。
【0099】
一方、標準VLANアカウントでの認証VLANへのログインに成功した場合には処理をS1202を介してS1203に進め、MFP101は割り込みログインの待ちループ処理を行なう。割り込みログインとは、一時的にMFP101を標準VLANで設定されたVLAN以外のVLANにログインさせる機能である。
【0100】
このとき、MFP101の操作者は、パネル206に表示されているUIを操作し、割り込みログインの操作画面を呼び出す指示を入力する。MFP101はこの指示を受けると、図13に例示する画面をパネル206の表示画面上に表示する処理を行う。図13は、割り込みログインの操作画面の表示例を示す図である。
【0101】
同図に示す如く、操作画面には、登録ユーザID(ログインID)を入力するための領域1301と、パスワードを入力するための領域1302とが設けられている。それぞれの領域1301、1302に入力するものは、RADIUSサーバに問い合わせる認証VLANの登録ユーザIDとパスワードに結び付けられている。ここで、割り込みログインの入力があれば、処理をS1203を介してS1204に進め、MFP101は図13の画面上に入力された登録ユーザIDとパスワードとを用いて、認証サーバ107に認証VLANのログイン要求を発行する。認証VLANへのログイン要求の発行と、認証サーバ107及び認証VLAN対応スイッチ108による認証処理に関しては、上記S906からS917における処理と同様であるので、これに関する説明は省略する。
【0102】
そして、MFP101は認証に成功したか否かを示す情報を受けるが、認証に失敗した場合には処理をS1204を介してS1205に進める。そして、認証VLANログインエージェント217は複合機制御ソフトウェア216を介してパネル206に認証VLANへのログインに失敗した旨のメッセージを表示する。そして再度標準VLANにログインするため、処理をS1202に戻す。このようにすることによって、割り込みログイン失敗時には、予め設定された標準VLANに再ログインする。
【0103】
一方、認証に成功した場合には、処理をS1204を介してS1206に進め、MFP101は割り込みログインで設定されたVLAN上のノードとして動作する。この状態においては、ユーザはMFP101を割り込みログインで指定したVLAN上のノードとして操作することが可能であるため、例えば標準VLANとは異なるアクセス先にアクセスすることが可能になる。ユーザは割り込みログインで指定したVLAN上でのMFP101の使用が終了したら、パネル206に表示されたUIの指示に従ってログアウトを指示する。MFP101がこのログアウト指示を検知すると、処理をS1206を介してS1207に進め、ログアウト処理を行う。そして処理をS1202に戻し、再度標準VLANへのアクセス要求を行なう。このようにして、割り込みログインが終了したら、MFP101は自動的に標準VLANにログインを行なう。
【0104】
以上の説明により、本実施形態によれば、画像形成装置は画像形成装置の利用者が望む任意の認証情報を用いて認証VLANにアクセスすることが可能になる。また画像形成装置が通常状態においてアクセスする認証VLANと、それに加えて別の認証VLANにアクセスすることが可能になる。このため、一般者用の認証VLANに接続された画像形成装置においても利用者が特定の認証VLANにアクセスすることが可能になり、且つアクセスが終了したら再び一般者用の認証VLANに接続することが可能になる。
【0105】
なお、本実施形態に係る上記説明で用いた表示画面の構成やその操作方法、認証処理のために用いるもの(本実施形態では登録ユーザIDとパスワード)については適宜変形が考えれる。また、ネットワーク設定情報(本実施形態ではVLANの識別子とIPアドレス)等については適宜変形が考えられる。本実施形態に係る上記説明の本質は、このような様々な変形例に対しても適用可能なものである。
【0106】
上記実施形態によれば、例えば、任意のユーザが、会議等の際にMFP(画像形成装置)を使用して特定の認証VLANネットワーク上にあるサーバにSendを行ったり、参照プリントを行ったりすることができる。また、会議室等において、ユーザマターの認証VLANにノートPCを参加させた場合でも、そのユーザマターの認証VLANに画像形成装置を参加させ、容易に印刷を行うことができる。
【0107】
[第2の実施形態]
本実施形態では、割り込みログインのタイマ予約について説明する。なお、本実施形態は、第1の実施形態がベースとなっているため、以下では、第1の実施形態と本実施形態との差分事項について説明する。
【0108】
図15において、同図に示した画面は、パネル206の表示画面上における割り込みVLANログインのタイマ予約設定画面の表示例を示す図に表示される。MFP101の管理者又は利用者はこの設定画面を操作することで、MFP101の割り込みVLANログインのタイマ予約を設定する。
【0109】
領域1501、1502はそれぞれ、RADIUSサーバに問い合わせる認証VLANの登録ユーザID(ログインID)、パスワードを入力するための領域である。領域1503は、認証VLANへのログイン要求を発行する日時を入力するための領域であり、領域1504は、ログアウト時刻を入力するための領域である。MFP101の管理者又は利用者はこれらの領域に入力すべき情報を入力することで、割り込みログインのタイマ設定を行なう。
【0110】
図14は、図15に例示する画面を用いてログインする場合に、MFP101が行う処理のフローチャートを示す図である。
【0111】
S1401では、図9のフローチャートに従った処理によりMFP101が行う処理を実行する。次に、S1402では、図9のフローチャートに従った処理により、認証VLANへのログインが成功したか否かをチェックする。ここで標準VLANアカウントでの認証VLANへのログインに失敗している場合、MFP101はネットワーク通信を行うことが出来ないためこれ以上の処理を続行することが出来ない。そのためここで終了となる。即ち、S1402を介して本処理を終了する。
【0112】
一方、標準VLANアカウントでの認証VLANへのログインに成功した場合には処理をS1402を介してS1403に進め、MFP101は割り込みログインのタイムアップ待ちループ処理を行なう。割り込みログインとは、一時的にMFP101を標準VLANで設定されたVLAN以外のVLANにログインさせる機能である。従ってS1403では、複合機制御ソフトウェア216は、図15に例示した画面において領域1503に入力された時刻が、CPU201が計時している現在時刻であるのかをチェックする。このチェックの結果、領域1503に入力された時刻が、CPU201が計時している現在時刻である場合には、処理をS1403を介してS1404に進める。そして、MFP101は図15の画面上に入力された登録ユーザIDとパスワードとを用いて、認証サーバ107に認証VLANのログイン要求を発行する。認証VLANへのログイン要求の発行と、認証サーバ107及び認証VLAN対応スイッチ108による認証処理に関しては、上記S906からS917における処理と同様であるので、これに関する説明は省略する。
そして、MFP101は認証に成功したか否かを示す情報を受けるが、認証に失敗した場合には処理をS1404を介してS1405に進める。そして、認証VLANログインエージェント217は複合機制御ソフトウェア216を介してパネル206に認証VLANへのログインに失敗した旨のメッセージを表示する。そして再度標準VLANにログインするため、処理をS1402に戻す。このようにすることによって、割り込みログイン失敗時には、予め設定された標準VLANに再ログインする。
【0113】
一方、認証に成功した場合には、処理をS1404を介してS1406に進め、MFP101は割り込みログインで設定されたVLAN上のノードとして動作する。この状態においては、ユーザはMFP101を図15の設定項目で指定したVLAN上のノードとして操作することが可能であるため、例えば標準VLANとは異なるアクセス先にアクセスすることが可能になる。
【0114】
そしてMFP101は、図15に例示した画面において領域1504に入力された時刻が、CPU201が計時している現在時刻であるのかをチェックする。そして、領域1503に入力された時刻が、CPU201が計時している現在時刻である場合には、処理をS1406を介してS1407に進め、ログアウト処理を行う。そして処理をS1402に戻し、再度標準VLANへのアクセス要求を行なう。このようにして、割り込みログインが終了したら、MFP101は自動的に標準VLANにログインを行なう。
【0115】
以上の説明により、本実施形態によれば、認証VLANにアクセスする時間(時刻)の設定が可能になるため、通常は一般者用の認証VLANにアクセスしていても、特定の時間(時刻)のみ別のVLANにアクセスするといった使い方が可能になる。これはログアウトに関しても同様である。
【0116】
なお、領域1503、1504に入力するものは時刻だけでなく、毎週何曜日の何時とか、何月何日何時とか、所謂日時指定であっても良い。また、MFP101が図15の画面上に入力された登録ユーザIDとパスワードとを用いて認証サーバ107に認証VLANのログイン要求を発行する日時の指定方法や、決定方法については様々ものが考えられる。入力すべき日時と、現在日時とに基づいてログイン要求を発行するのであれば、如何なる変形例を用いても良い。
【0117】
なお、上記各実施形態で説明した処理は、図1に示したシステム構成以外の構成によっても実現可能である。即ち、図1に示したいくつかの装置を1つの装置に統合しても良いし、1つの装置が行う処理を複数の装置でまかなうようにしても良い。
【0118】
上記実施例によれば、特定のタイミング(日時等)で、会議室等における画像形成装置を容易に利用できるプリンティング環境を構築することができる。
【0119】
[第3の実施形態]
第3の実施形態では上記各実施形態を更に応用した例を説明する。
【0120】
まず、図2におけるFTPクライアントソフトウェア220を用いた例を説明する。MFP101の所属する標準VLANが、例えば、図10で示されるVLAN−10Bであった場合を想定すると、MFP101はPC103及びPC105と通信することが可能となる。なお、MFP101が認証VLAN−10Bに参加する処理は、第1の実施形態の図8、図13、図15で説明した設定画面を介して各種情報が入力され、図9、図14のフローチャートが実行されることにより行われる。
【0121】
このMFP101が認証VLAN−10Bに参加することで、スキャナ214により読み取った原稿データをPC105上で動作するFTPサーバに転送することが可能となる。より具体的には、MFP101は、FTPクライアントソフトウェア220を使用してFTPプロトコルによりPC105上で動作するFTPサーバに接続してスキャンデータを転送する。
【0122】
MFPの詳細な処理を以下で図17のフローチャートを用いて詳しく説明する。図17のフローチャートは、第1の実施形態の図9、図14等のフローチャートが実行され、MFPがユーザ所望の仮想ネットワークに接続された状態で実行されるものとする。
【0123】
まず、S1701で現在接続されている認証VLAN上のデバイスを探索する。ここで探索されるデバイスはPC乃至MFP(画像形成装置)を含むものとする。また、探索方法としては様々な形態が想定され、ブロードキャストによるもの、又はIPアドレス範囲を指定したもの、又はIPアドレスを直接したもの、又はデバイス名によるもの等が想定される。また、転送先を指定した。
【0124】
S1702ではS1701の探索処理による探索結果をMFPのパネル206に表示する。ユーザはここで表示されたデバイスから任意の転送先を指定する。
【0125】
S1703でMFPのパネル206を介して転送先指示がユーザによりなされたか否かを判定する。YESと判定した場合にはS1704で指示された転送先を設定する。一方NOと判定した場合には引き続きS1705でスキャナ214にセットされた原稿画像の読取指示、即ちスキャン指示が入力されたか否かを判定する。S1705でNOと判定した場合には処理をS1703へ戻し、一方、YESと判定した場合にはS1706で既にS1704により転送先が設定済みが否かを判定する。S1706でYESと判定した場合にはS1707へ処理を移す。
【0126】
S1707ではスキャナ214にセットされた原稿の画像を読み取り、S1708で読み取った画像をファイル名等の属性に従い、順次ファイル化する。ファイルの形式は例えばアドビ社が開発したPDF(Portable Document Format)を採用することが出来る。
【0127】
そしてS1709で、FTPクライアントソフトウェア220は、S1706でファイル化されたファイルデータをS1702で設定された転送先にFTPプロトコルで転送する。実際のFTPプロトコルによる転送はCPU201がFTPクライアントソフトウェア220を実行し且つネットワークインターフェースカード211と協働することにより行われる。
【0128】
なお、図17のフローチャートではS1703でS1701の探索結果の中から転送先を指定するよう説明を行ってきた。しかしながら例えば\\XXX\YYYのようにパスを直接MFPのパネル206を介して入力することにより、S1704で入力されたパスを設定しても良い。
【0129】
このように認証VLANをMFPに応用することで、ユーザが任意のMFPを用いる場合に、例えばハブ設定等の煩雑な作業を行うことなく、自らが転送先としたいPCと任意のMFPを容易に通信可能に接続できる。例えば会議室に設置されたMFPのスキャナを用い読み取った原稿画像を容易にユーザ所望のPCに転送することができる。
【0130】
更にMFPとPCとを認証VLANに基づき接続するので、例えば双方の機器のIPアドレス及びMACアドレスの設定を行うことにより、任意のPCをMFPに接続できてしまうというセキュリティレベルの低い事態を回避出来る。
【0131】
次に、図2におけるWebサーバソフトウェアを用いた例を説明する。例えばMFP101が図10で示される認証VLAN−10Aに参加すると、MFP101はPC102及びPC104と通信することが可能となる。この場合もMFP101の認証VLAN−10Aへの参加は、上述の図8、図13、図15に示される設定画面を介して各種情報が入力され図9、図14のフローチャートが実行されることにより行われる。
【0132】
MFPの詳細な処理を以下で図18のフローチャートを用いて詳しく説明する。図17のフローチャートは、第1の実施形態の図9、14等のフローチャートが実行され、MFPがユーザ所望の仮想ネットワークに接続された状態で実行されるものとする。
【0133】
図18のS1801において、MFP101のWebサーバソフトウェア219は起動待ちの状態である。Webサーバソフトウェア219はMFP101のIPアドレスの状態を監視しており、IPアドレスが決定された場合には起動処理を行なう。図9のS917において、MFP101のIPアドレスが決定したら、Webサーバソフトウェア219はS1802の処理に移行する。
【0134】
S1802では、WebサーバソフトウェアがWebサーバとして動作するための初期化及び起動処理を行なう。ここでは、ネットワークソケットの生成やバインドといったWebサーバソフトウェア219が外部のノードとHTTPプロトコルによる通信を行うための一連の処理を行なう。すなわちS1802が終了した時点において、MFP101上でWebサーバが動作している状態となる。
【0135】
S1803はWebサーバソフトウェア219が外部ノードからHTTPによるアクセスを待ち受ける処理を示している。この状態において、PC102又はPC104といった認証VLAN−10Aに参加している外部ノードからのHTTPプロトコルによるアクセスが発生した場合には、S1804の処理へと移行する。
【0136】
S1804では、Webサーバソフトウェア219はHTTPプロトコルによる所定の命令を受信し、Webデータの送受信を実行する。この所定の命令には、MFP101が持つWebページデータの取得命令も含まれている。
【0137】
これにより、PC102及びPC104は、ユーザの操作に応じて、ネットワーク経由でMFP101のWebサーバソフトウェア219にアクセスすることが可能となる。例えば、PC102のWebブラウザを使用してMFP101のWebサーバソフトウェア219によって公開されるWebページにアクセスすることにより、消耗品や機器情報の参照やネットワーク設定を行うことができる。
【0138】
このように認証VLANをMFPに応用することで、ユーザは例えばノートPCをMFPと同じ認証VLANに参加させることにより、双方の機器を通信可能に接続させ、ハブ設定等の煩雑な作業を行うことなく、容易に任意のMFPにアクセスできる。
【0139】
更にMFPとPCとを認証VLANに基づき接続するので、例えば双方の機器のIPアドレス及びMACアドレスの設定を行うことにより、任意のPCをMFPに接続できてしまうという事態を回避でき、セキュリティを向上させることも出来る。
【0140】
[第4の実施形態]
上記各実施形態では、認証サーバ107を、スイッチ装置である認証VLAN対応スイッチとは別に、設定するシステムを示した。しかし、この認証サーバ107の機能を、各VLAN対応スイッチに組み込む形態も想定される。この場合には、上記各実施形態で、各画像形成装置が認証サーバ107に認証要求を行っていたのに対し、各画像形成装置が接続される認証VLAN対応スイッチに認証要求を行うことになる。
【0141】
即ち、MFP、プリンタ等の画像形成装置が、通信可能範囲を変更すべく、認証要求を行う要求先は、認証サーバ107に限らず、様々な装置を適用することができる。
【0142】
[その他の実施形態]
また、本発明の目的は、以下のようにすることによって達成されることはいうまでもない。即ち、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体(または記憶媒体)を、システムあるいは装置に供給する。そして、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読み出し実行する。この場合、記録媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記録した記録媒体は本発明を構成することになる。
【0143】
また、コンピュータが読み出したプログラムコードを実行することにより、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているオペレーティングシステム(OS)などが実際の処理の一部または全部を行う。その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0144】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張カードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれたとする。その後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0145】
本発明を上記記録媒体に適用する場合、その記録媒体には、先に説明したフローチャートに対応するプログラムコードが格納されることになる。
【図面の簡単な説明】
【0146】
【図1】本発明の第1の実施形態に係るシステムの構成例を示す図である。
【図2】MFP101のハードウェア構成を示すブロック図である。
【図3】4ポートのVLAN対応スイッチ301とそれに接続されるノードを示す図である。
【図4】アクセスリンクを4ポートを有し、それぞれのポートにPC及びMFPが接続されているVLAN対応スイッチを2つ繋げた場合の構成を示す図である。
【図5】IEEE802.1Qのパケット構造を示す図である。
【図6】2つのPCと1つのプリンタとDHCPサーバ、認証サーバがVLAN対応スイッチに接続されている構成を示す図である。
【図7】登録ユーザIDに対応するパスワードと所属VLANとを関連付けて登録したテーブルの構成例を示す図である。
【図8】MFP101が有するパネル206に表示される標準認証VLAN設定画面の表示例を示す図である。
【図9】MFP101の電源が投入され、認証VLANにログインする為に、MFP101、認証VLAN対応スイッチ108、認証サーバ107のそれぞれが行う処理のフローチャートを示す図である。
【図10】イーサネット(登録商標)に接続されているノードの所属VLANとIPアドレスとの関係を記したテーブルの構成例を示す図である。
【図11】登録ユーザIDに対応するパスワード、所属VLAN、割り当てるIPアドレスが登録されたテーブルの構成例を示す図である。
【図12】MFP101を起動した後で、MFP101を標準VLAN以外の認証VLANにログインさせる場合に、MFP101が行う処理のフローチャートを示す図である。
【図13】割り込みログインの操作画面の表示例を示す図である。
【図14】図15に例示する画面を用いてログインする場合に、MFP101が行う処理のフローチャートを示す図である。
【図15】割り込みログインのタイマ予約設定画面の表示例を示す図である。
【図16】認証サーバ107のハードウェア構成を示すブロック図である。
【図17】認証VLANにログインしたMFP101の第1処理例のフローチャートを示す図である。
【図18】認証VLANにログインしたMFP101の第2処理例のフローチャートを示す図である。
【特許請求の範囲】
【請求項1】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置であって、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求手段と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段と
を備えることを特徴とする画像形成装置。
【請求項2】
前記応答として前記認証情報に対応する設定情報を仮想ネットワークを構成するスイッチ装置から受信する受信手段と、
前記設定情報に従った設定処理を行う設定手段とを備え、
前記通信手段は、前記設定手段による設定に従い、前記注目仮想ネットワークにおけるアクセスを行うことを特徴とする請求項1に記載の画像形成装置。
【請求項3】
前記設定情報は、前記注目仮想ネットワーク上におけるIPアドレスであり、前記設定手段は、前記IPアドレスに従った設定処理を行うことを特徴とする請求項2に記載の画像形成装置。
【請求項4】
更に、前記通信手段が前記注目仮想ネットワークに接続する日時を指定する手段を備え、
前記通信手段は、現在日時と前記指定された日時とに基づき、前記注目仮想ネットワークへの接続を行うことを特徴とする請求項1乃至3の何れか1項に記載の画像形成装置。
【請求項5】
起動時に予め定められたネットワーク環境への接続要求を行う初期ネットワーク接続手段を備え、
前記予め定められたネットワーク環境において前記認証部との通信を行うことを特徴とする請求項1乃至4の何れか1項に記載の画像形成装置。
【請求項6】
原稿画像を読み取るスキャナと、
前記注目仮想ネットワークにおいて通信可能な外部装置に前記スキャナにより読み取られた原稿画像を転送する転送手段と、
有することを特徴とする請求項1乃至5の何れか1項に記載の画像形成装置。
【請求項7】
ウェブサーバを更に備え、
前記ウェブサーバは、前記注目仮想ネットワークにおいて通信可能な外部装置からの前記ウェブサーバへのアクセスに応答することを特徴とする請求項1乃至6の何れか1項に記載の画像形成装置。
【請求項8】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置と、認証部と、で構成されているシステムであって、
前記画像形成装置は、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を前記認証部に対して行う要求手段と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段とを備え、
前記認証部は、
認証情報と、当該認証情報に対応する設定情報とのセットを複数セット保持する保持手段と、
前記画像形成装置からの接続要求に含まれている認証情報に対応する設定情報を前記保持手段から取得する取得手段と、
前記取得手段が取得した設定情報を前記画像形成装置に送信する送信手段と
を備えることを特徴とするシステム。
【請求項9】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置の制御方法であって、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力工程と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求工程と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信工程と
を備えることを特徴とする画像形成装置の制御方法。
【請求項10】
コンピュータに請求項9に記載の制御方法を実行させるためのプログラム。
【請求項11】
請求項10に記載のプログラムを格納したことを特徴とするコンピュータ読み取り可能な記憶媒体。
【請求項1】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置であって、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求手段と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段と
を備えることを特徴とする画像形成装置。
【請求項2】
前記応答として前記認証情報に対応する設定情報を仮想ネットワークを構成するスイッチ装置から受信する受信手段と、
前記設定情報に従った設定処理を行う設定手段とを備え、
前記通信手段は、前記設定手段による設定に従い、前記注目仮想ネットワークにおけるアクセスを行うことを特徴とする請求項1に記載の画像形成装置。
【請求項3】
前記設定情報は、前記注目仮想ネットワーク上におけるIPアドレスであり、前記設定手段は、前記IPアドレスに従った設定処理を行うことを特徴とする請求項2に記載の画像形成装置。
【請求項4】
更に、前記通信手段が前記注目仮想ネットワークに接続する日時を指定する手段を備え、
前記通信手段は、現在日時と前記指定された日時とに基づき、前記注目仮想ネットワークへの接続を行うことを特徴とする請求項1乃至3の何れか1項に記載の画像形成装置。
【請求項5】
起動時に予め定められたネットワーク環境への接続要求を行う初期ネットワーク接続手段を備え、
前記予め定められたネットワーク環境において前記認証部との通信を行うことを特徴とする請求項1乃至4の何れか1項に記載の画像形成装置。
【請求項6】
原稿画像を読み取るスキャナと、
前記注目仮想ネットワークにおいて通信可能な外部装置に前記スキャナにより読み取られた原稿画像を転送する転送手段と、
有することを特徴とする請求項1乃至5の何れか1項に記載の画像形成装置。
【請求項7】
ウェブサーバを更に備え、
前記ウェブサーバは、前記注目仮想ネットワークにおいて通信可能な外部装置からの前記ウェブサーバへのアクセスに応答することを特徴とする請求項1乃至6の何れか1項に記載の画像形成装置。
【請求項8】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置と、認証部と、で構成されているシステムであって、
前記画像形成装置は、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力手段と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を前記認証部に対して行う要求手段と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信手段とを備え、
前記認証部は、
認証情報と、当該認証情報に対応する設定情報とのセットを複数セット保持する保持手段と、
前記画像形成装置からの接続要求に含まれている認証情報に対応する設定情報を前記保持手段から取得する取得手段と、
前記取得手段が取得した設定情報を前記画像形成装置に送信する送信手段と
を備えることを特徴とするシステム。
【請求項9】
接続時に認証処理が必要な仮想ネットワークに接続可能な画像形成装置の制御方法であって、
複数の仮想ネットワークのうち前記画像形成装置を接続しようとする注目仮想ネットワークに対応する認証情報を入力する入力工程と、
前記認証情報を含む、前記注目仮想ネットワークへの接続要求を認証部に対して行う要求工程と、
前記認証部からの応答に従った設定により前記注目仮想ネットワークにおいて通信可能な外部装置と通信する通信工程と
を備えることを特徴とする画像形成装置の制御方法。
【請求項10】
コンピュータに請求項9に記載の制御方法を実行させるためのプログラム。
【請求項11】
請求項10に記載のプログラムを格納したことを特徴とするコンピュータ読み取り可能な記憶媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2007−293813(P2007−293813A)
【公開日】平成19年11月8日(2007.11.8)
【国際特許分類】
【出願番号】特願2007−22238(P2007−22238)
【出願日】平成19年1月31日(2007.1.31)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成19年11月8日(2007.11.8)
【国際特許分類】
【出願日】平成19年1月31日(2007.1.31)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]