Users Guide
• 对于单点登录或智能卡登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
CMC
• 每个 CMC 都必须有 Active Directory 帐户。
• CMC 必须是 Active Directory 域和 Kerberos 领域的一部分。
单点登录或智能卡登录的前提条件
配置 SSO 或智能卡登录的前提条件包括:
• 为 Active Directory (ksetup) 设置 Kerberos 领域和密钥分发中心 (KDC)。
• 强健的 NTP 和 DNS 基础结构以避免时钟漂移和反向查询出现问题。
• 使用包含授权成员的 Active Directory 标准架构角色组配置 CMC。
• 对于智能卡,为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
• 配置浏览器实现 SSO 或智能卡登录。
• 使用 Ktpass 在密钥分发中心注册 CMC 用户(这也会将密钥上载到 CMC)。
生成 Kerberos Keytab 文件
为了支持 SSO 和智能卡登录验证,CMC 支持 Windows Kerberos 网络。ktpass 工具用于创建与用户帐户的
服务主体名称 (SPN) 绑定并将信任信息导出到 MIT-style Kerberos keytab 文件。有关 ktpass 公用程序的更多
信息
,请参阅 Microsoft 网站。
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户,以便与 ktpass 命令的 -mapuser 选项一
起使用。您必须使用与上载生成的
keytab 文件的 CMC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 CMC 映射到 Active Directory 中的用户帐户的域控制器(Active Directory 服务器)上运行
ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
注: RFC 要求 cmcname.domainname.com 必须小写,而 @REALM_NAME 必须大写。此外,CMC
支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。
所生成的 keytab 文件必须上载到 CMC。
注: keytab 包含加密密钥,必须妥善保管。有关 ktpass 公用程序的更多信息,请参阅 Microsoft 网
站。
配置 CMC 以使用 Active Directory 架构
有关配置 CMC 以使用 Active Directory 标准架构的信息,请参阅配置标准架构 Active Directory。
108