Users Guide

配置 CMC 进行单点登录或智能卡登录

此部分为 Active Directory 用户提供配置 CMC 进行智能卡登录和单点登录 (SSO) 的信息。

SSO 使用 Kerberos 作为验证方法，使已经登录的用户可以自动或单点登录到 Exchange 等后续应用程序。对

于单点登录，CMC 使用客户端系统的凭据，您使用有效的 Active Directory 帐户登录之后，操作系统就会缓

存这些凭据。

双重验证提供了更高级别的安全性，要求用户具有密码或 PIN 以及含有私钥或数字证书的实物卡。Kerberos

使用此双重验证机制来让系统可以证明用户的真实性。

注: 选择登录方法不会设置与诸如 SSH 等其他登录界面相关的策略属性。您还必须设置其他登录界面的

其他策略属性。如果您要禁用所有其他登录界面，请导航至服务页面并禁用所有（或某些）登录界面。

Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7 和

Windows Server 2008 可以使用 Kerberos 作为 SSO 和智能卡登录的验证机制。

有关 Kerberos 的信息，请参阅 Microsoft 网站。

系统要求

要使用 Kerberos 验证方法，网络必须包括：

• DNS 服务器

• Microsoft Active Directory 服务器

注: 如果您使用 Windows 2003 上的 Active Directory，应确保客户端系统上安装了最新的 Service

Pack

和增补软件。如果您使用 Windows 2008 上的 Active Directory，应确保安装了 SP1 和以下热

补丁：

用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件，该公用程序会

生成错误

Keytab 文件。

Windows6.0-KB957072-x86.msu，用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。

• Kerberos Key Distribution Center（与 Active Directory Server 软件一起打包）。

• DHCP 服务器（推荐）。

• DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目。

客户端系统

• 对于只通过智能卡的登录，客户端系统必须具有 Microsoft Visual C++ 2005 Redistributable。有关更多

信息

，请参阅 www.microsoft.com/downloads/details.aspx?FamilyID=

32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en

• 对于单点登录或智能卡登录，客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。