Users Guide
要使用 Kerberos 验证方法,网络必须包括:
l DNS 服务器
l
Microsoft Active Directory
®
服务器
l Kerberos Key Distribution Center(与 Active Directory Server 软件一起打包)
l DHCP 服务器(推荐)
l DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目
客户端系统
l 对于仅通过 Smart Card 登录,客户端系统必须有 Microsoft Visual C++ 2005 Redistributable。有关详情,请参阅
www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
l 对于单一登录和 Smart Card 登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
CMC
l CMC 必须有固件版本 2.10 或更高版本
l 每个 CMC 都必须有 Active Directory 帐户
l CMC 必须是 Active Directory 域和 Kerberos Realm 的一部分
配置设置
前提条件
l 已经设置了 Active Directory (AD) 的 Kerberos 领域和 Key Distribution Center (KDC) (ksetup)。
l 强健的 NTP 和 DNS 基础设施以避免时钟漂移和反向查询出现问题
l 具有授权成员的 CMC 标准模式角色组
配置 Active Directory
在CMC Properties”(CMC 属性)对话框的Accounts”(帐户)选项部分下面,配置以下设置:
l Account is trusted for delegation”(帐户可以委派其它帐户)— 在选择此选项时,当前 CMC 不使用创建的已转发凭据。能否选择此选项视其它服务要求而定。
l Account is sensitive and cannot be delegated”(敏感帐户,不能被委派)— 能否选择此选项视其它服务要求而定。
l User Kerberos DES encryption types for the account”(帐户的用户 Kerberos DES 加密类型)— 选择此选项。
l Do not require Kerberos preauthentication”(不要求 Kerberos 预验证)— 不选择此选项。
在用来将 CMC 映射到 Active Directory 中的用户帐户的域控制器上,运行 ktpass 公用程序(Microsoft Windows 的一部分)。例如:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
此过程会生成一个 Keytab 文件,必须将该文件上载到 CMC。
注: 注:如果您使用 Windows 2003 上的 Active Directory,应确保客户端系统上安装了最新的 Service Pack 和增补软件。如果您使用 Windows 2008 上的
Active Directory,应确保安装了 SP1 和以下热补丁:
用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件,该公用程序会生成
错误
Keytab 文件。
Windows6.0-KB957072-x86.msu,用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。
注: RFC 要求 cmcname.domainname.com 必须小写,而 REALM 名称 @REALM_NAME 必须大写。此外,CMC 支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。