Users Guide
• DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目。
客户端系统
• 对于只通过智能卡的登录,客户端系统必须具有 Microsoft Visual C++ 2005 Redistributable。有关更多信息,请参阅
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
• 对于单点登录或智能卡登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
CMC
• 每个 CMC 都必须有 Active Directory 帐户。
• CMC 必须是 Active Directory 域和 Kerberos 领域的一部分。
单点登录或智能卡登录的前提条件
配置 SSO 或智能卡登录的前提条件包括:
• 为 Active Directory (ksetup) 设置 Kerberos 领域和密钥分发中心 (KDC)。
• 强健的 NTP 和 DNS 基础结构以避免时钟漂移和反向查询出现问题。
• 使用包含授权成员的 Active Directory 标准架构角色组配置 CMC。
• 对于智能卡,为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
• 配置浏览器实现 SSO 或智能卡登录。
• 使用 Ktpass 在密钥分发中心注册 CMC 用户(这也会将密钥上载到 CMC)。
生成 Kerberos Keytab 文件
为了支持 SSO 和智能卡登录验证,CMC 支持 Windows Kerberos 网络。ktpass 工具用于创建与用户帐户的服务主体名称 (SPN) 绑定
并将信任信息导出到 MIT-style Kerberos keytab 文件。有关 ktpass 公用程序的更多信息,请参阅 Microsoft 网站。
在生成 keytab 文件之前,应创建一个 Active Directory 用户帐户,以便与 ktpass 命令的 -mapuser 选项结合使用。所使用的名称应
与上载生成的 keytab 文件的 CMC DNS 名称相同。
要使用 ktpass 工具生成 keytab 文件:
1 在希望将 CMC 映射到 Active Directory 中的用户帐户的域控制器(Active Directory 服务器)上运行 ktpass 公用程序。
2 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp set -
crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
注: RFC 要求 cmcname.domainname.com 必须小写,@REALM_NAME 必须大写。此外,CMC 支持对 Kerberos 验证使用
DES-CBC-MD5 和 AES256-SHA1 类型的加密。
所生成的 keytab 文件必须上载到 CMC。
注: keytab 包含加密密钥,必须妥善保管。有关
ktpass
公用程序的更多信息,请参阅 Microsoft 网站。
配置 CMC 以使用 Active Directory 架构
有关配置 CMC 以使用 Active Directory 标准架构的信息,请参阅配置标准架构 Active Directory。
114
配置 CMC 进行单点登录或智能卡登录