Users Guide
Kerberos Keytab
您可上传相关 Active Directory 服务器上生成的 Kerberos Keytab。您可以执行 ktpass.exe 公用程序,以从 Active Directory 服务器生成 Kerberos Keytab。此 Keytab 在
Active Directory 服务器和 CMC 之间建立信任关系。
允许以下操作:
l 浏览 - 打开"浏览"对话框,然后从中选择想要上传的服务器证书。
l 上传 - 用指定的文件路径发起证书的上传流程。
配置和管理通用轻型目录访问协议服务
您可使用通用轻型目录访问协议 (LDAP) 服务配置软件提供到 CMC 的访问。LDAP 允许您添加和控制现有用户的 CMC 用户权限。
若要查看和配置 LDAP:
1. 登录到 Web 界面。
2. 单击"User Authentication"(用户验证)选项卡,然后单击"Directory Services"(目录服务)子选项卡。随即出现"Directory Services"(目录服务)页。
3. 单击通用 LDAP 的单选按钮。
4. 配置显示的选项并单击"Apply"(应用)。
可用配置选项如下:
表 5-45.常见设置
选择 LDAP 服务器
用通用 LDAP 配置服务器有两种方式。静态服务器允许管理员在字段内加入 FQDN 或 IP 地址。另外,也可通过在 DNS 内查询其 SRV 记录而读取 LDAP 服务器列表。以下是 LDAP 服
务器部分中的属性:
l "Use Static LDAP Servers"(使用静态 LDAP 服务器) - 选择此选项可使 LDAP 服务使用提供端口号的指定服务器(详情请参阅下面)。
l "LDAP Server Address"(LDAP 服务器地址) - 指定 LDAP 服务器的 FQDN 或 IP 地址。要指定位于相同域的多个冗余 LDAP 服务器,请提供所有服务器的列表(用逗号隔
注: CMC 没有适用于 Active Directory 的 Kerberos Keytab。您必须上载当前生成的 Kerberos Keytab。有关详细信息,请参阅"配置单一登录"。
注: 要为 CMC 配置 LDAP 设置,必须具备机箱配置管理员权限。
设置
说明
启用通用 LDAP
在 CMC 上启用通用 LDAP 服务。有关 LDAP 详情请,参阅《CMC 用户指南》。
用可分辨名称搜索组成员
资格
指定允许其成员访问设备的 LDAP 组的可分辨名称 (DN)。
启用 SSL 证书验证
如果选择,CMC 使用 CA 证书验证 SSL 握手期间的 LDAP 服务器证书
"Bind DN"(绑定 DN)
在搜索登录用户的 DN 时,指定绑定到服务器的用户的可分辨名称。如果未提供,则使用匿名绑定。
"Password"(密码)
与绑定 DN 一起使用的绑定密码。
绑定密码属于敏感数据,应予以正确保护。
用于搜索的基础 DN
目录分支的域名,所有搜索都从此处开始。
用户登录的属性
指定要搜索的属性。如果未配置,默认使用 uid。推荐在选择的基础 DN 内唯一,否则必须配置搜索筛选器以保证登录用户的唯一性。如果用户 DN 不能通过
搜索属性和搜索筛选器组合而唯一识别,则登录失败并报错。
组成员资格属性
指定用于检查组成员资格的 LDAP 属性。必须是一个组类属性。如果未指定,则使用成员和唯一成员属性。
搜索筛选器
指定有效的 LDAP 搜索筛选器。如果用户属性不能在所选基础 DN 中唯一标识登录用户,将使用此功能。如果未指定,默认为 objectClass=*,显示搜索树
中的所有对象。此属性的最大长度为 1024 个字符。
网络超时(秒)
设置空闲的 LDAP 会话在等待多少秒后自动关闭。
搜索超时(秒)
设置搜索在等待多少秒后自动关闭。
注: 必须选择静态或 DNS。