Users Guide
Einfache Anmeldung konfigurieren
Microsoft
®
Windows
®
2000, Windows XP, Windows Server
®
2003,WindowsVista
®
undWindowsServer2008könnenKerberos(einNetzwerk-
Authentifizierungsprotokoll)alsAuthentifizierungsmethodeverwendenundBenutzern,diesichbeiderDomäneangemeldethaben,automatischeoder
einfacheAnmeldungfürnachfolgendeAnwendungenwieExchangeermöglichen.
BeginnendmitCMCVersion2.10kannderCMCKerberosverwenden,umzweizusätzlicheAuthentifizierungsmechanismen,einfacheAnmeldungundSmart
Card-Anmeldung,zuunterstützen.BeidereinfachenAnmeldungverwendetderCMCdieAnmeldeinformationendesClientsystems,dieimBetriebssystem
zwischengespeichertwerden,nachdemSiesichmiteinemgültigenActiveDirectory
®
-Konto angemeldet haben.
Systemanforderungen
Zu Verwendung der Kerberos-Authentifizierung muss Ihr Netzwerk Folgendes enthalten:
l DNS-Server
l Microsoft Active Directory
®
-Server
l Kerberos-Schlüsselverteilungscenter– KDC (mit der Active Directory Server-Software)
l DHCP-Server (empfohlen)
l Die DNS-Server-Reverse-ZonemusseinenEintragfürdenActiveDirectory-Server und den CMC enthalten.
Clientsysteme
l FürdiereineSmartCard-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++ 2005 enthalten. Weitere
Informationen finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-
220B62A191EE&displaylang=en
l FürdieeinfacheAnmeldungundSmartCard-Anmeldung muss das Clientsystem ein Teil der Active Directory-DomäneunddesKerberosbereichssein.
racadm sslcsrgen [-g]
[-f {Dateiname}]
racadm sslcertupload -t 1 -f {web_sslcert}
Was kann ich tun, wenn ich mich mittels Active Directory-
Authentifizierung nicht beim CMC anmelden kann? Wie kann ich
das Problem beheben?
1. StellenSiesicher,dassSiewährendeinerAnmeldungdenkorrekten
BenutzerdomänennamenanstelledesNetBIOS-Namens verwenden.
2. Wenn Sie ein lokales CMC-Benutzerkonto haben, melden Sie sich mit Ihren
lokalen Anmeldeinformationen beim CMC an.
NachdemSieangemeldetsind,führenSiediefolgendenSchritteaus:
a. StellenSiesicher,dassSiedasKästchenActive Directory aktivieren auf
der CMC Active Directory-Konfigurationsseite markiert haben.
b. Stellen Sie sicher, dass die DNS-Einstellung auf der CMC-
Netzwerkkonfigurationsseite richtig ist.
c. Stellen Sie sicher, dass Sie das Active Directory-Zertifikat von dem von
Ihrer Active Directory-root-Zertifizierungsstelle signierten Zertifikat zum
CMC geladen haben.
d. ÜberprüfenSiedieSSL-ZertifikatederDomänen-Controller, um
sicherzustellen, dass sie nicht abgelaufen sind.
e. Stellen Sie sicher, dass CMC-Name, Root-Domänennameund CMC-
Domänennamemit Ihrer Active Directory-Umgebungskonfiguration
übereinstimmen.
f. Stellen Sie sicher, dass das CMC-Kennwort maximal 127 Zeichen aufweist.
WährendderCMCKennwörtervonbiszu256Zeichenunterstützt,
unterstütztActiveDirectorynurKennwörter,diemaximal127Zeichenlang
sind.
ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen
sonstigeRichtlinienattributefürandereAnmeldeschnittstellenebenfallssetzen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,
navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.
ANMERKUNG: HINWEIS:FallsSieActiveDirectoryunterWindows2003verwenden,müssenSiesicherstellen,dassdieneuestenService-Packs auf
demClientsysteminstalliertsind.FallsSieActiveDirectoryunterWindows2008verwenden,müssenSiesicherstellen,dassSP1sowiedie
folgenden Hotfixes installiert sind.
Windows6.0-KB951191-x86.msufürdasDienstprogrammKTPASS.OhnediesesPatcherzeugtdasDienstprogrammfehlerhafte Keytab-Dateien.
Windows6.0-KB957072-x86.msufürVerwendungvonGSS_API- und SSL- TransaktionenwährendeinerLDAP-Bindung.