Users Guide
配置单一登录
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 可以使用网络验证协议 Kerberos 作为验证方法,使已经登录
到域的用户可以自动或单一登录到 Exchange 等随后的应用程序。
从 CMC 版本 2.10 开始,CMC 可以使用 Kerberos 支持其它两种类型的登录机制 — 单一登录和 Smart Card 登录。对于单一登录,CMC 使用客户端系统的证书,您使用有效的
Active Directory 帐户登录之后操作系统就会高速缓存这些凭据。
系统要求
要使用 Kerberos 验证方法,网络必须包括:
l DNS 服务器
l Microsoft Active Directory 服务器
l Kerberos Key Distribution Center(与 Active Directory Server 软件一起打包)
l DHCP 服务器(推荐)
l DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目
客户端系统
l 对于仅通过 Smart Card 登录,客户端系统必须有 Microsoft Visual C++ 2005 Redistributable。有关详情,请参阅
www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
l 对于单一登录和 Smart Card 登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
CMC
l CMC 必须有固件版本 2.10 或更高版本
l 每个 CMC 都必须有 Active Directory 帐户
l CMC 必须是 Active Directory 域和 Kerberos Realm 的一部分
配置设置
前提条件
racadm sslcsrgen [-g]
[-f {filename (文件名称)}]
racadm sslcertupload -t 1 -f {web_sslcert}
如果不能使用 Active Directory 验证方法登录到 CMC,应该怎么办?我如何排除这个问
题?
1. 确保在登录期间使用正确的用户域名,而不是 NetBIOS 名称。
2. 如果具有本地 CMC 用户帐户,请使用本地凭据登录 CMC。
登录后,执行以下步骤:
a. 确保已选中 CMC Active Directory 配置页上的"Enable Active
Directory"(启用 Active Directory)复选框。
b. 确保 CMC 联网配置页上的 DNS 设置正确。
c. 确保已从 Active Directory 根认证机构签发的认证将 Active Directory 认证上载
到 CMC。
d. 检查域控制器 SSL 证书以确保没有过期。
e. 确保 CMC 名称、Root 域名和 CMC 域名与 Active Directory 环境配置匹配。
f. 确保 CMC 密码最多有 127 个字符。虽然 CMC 可以支持多达 256 个字符的密
码,但 Active Directory 只支持最大长度为 127 个字符的密码。
注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航
至"Services"(服务)页并禁用所有(或某些)登录界面。
注: 如果您使用 Windows 2003 上的 Active Directory,应确保客户端系统上安装了最新的 Service Pack 和增补软件。如果您使用 Windows 2008 上的 Active
Directory,应确保安装了 SP1 和以下热补丁:
用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件,该公用程序会生成
错误
Keytab 文件。
Windows6.0-KB957072-x86.msu,用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。