Users Guide
1. 使用网络帐户登录客户端系统。
2. 使用以下方式访问 CMC Web 页面
https://<CMC
名称
.
域名
>
例如,cmc-6G2WXF1.cmcad.lab
其中,cmc-6G2WXF1 是 CMC 名称
cmcad.lab 是域名。
将显示 “CMC Single Sign-On”(单一登录)页。
3. 单击“Login”(登录)。
CMC 会使用在您使用有效 Active Directory 帐户登录时浏览器高速缓存的 Kerberos 凭据来使您登录。如果登录失败,浏览器将重定向至正常的 CMC 登录页。
配置 Smart Card 双重验证
传统的验证模式使用用户名和密码来验证用户。而双重验证则提供了更高的安全性,要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实物卡。Kerberos 是一种使用此双重验证机
制的网络验证协议,使系统可以证明其真实性。Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 将 Kerberos
用作首选的验证方法。从 CMC 版本 2.10 开始,CMC 可以通过 Kerberos 支持 Smart Card 登录。
系统要求
Smart Card 的系统要求与单一登录相同。
配置设置
Smart Card 的前提条件与单一登录相同。
配置 Active Directory
1. 如果 Active Directory 的 Kerberos 领域和 Key Distribution Center (KDC) 尚未配置,则进行设置 (ksetup)。
2. 为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
3. 使用 Ktpass 在 Key Distribution Center 注册 CMC 用户(这也会将一个密钥上载到 CMC)。
配置 CMC
将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情,请参阅配置标准架构 Active Directory 访问 CMC。
上载 Kerberos Keytab 文件
Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据,KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active
Directory 注册,而且必须有唯一的 Keytab 文件。
注: 如果您更改了默认 HTTPS 端口号(端口 80),则使用 <CMC
名称
.
域名
>:<
端口号
> 访问 CMC Web 页面,其中 CMC
名称
是 CMC 的 CMC 主机名,
域名
是域
名,
端口号
是 HTTPS 端口号。
注: 如果您没有登录到 Active Directory 域,而且使用的是除 Internet Explorer 以外的浏览器,则登录将失败,而且浏览器仅显示空白页。
注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航至“Services”(服
务)页并禁用所有(或某些)登录界面。
注: 确保具有强健的 NTP 和 DNS 基础设施,以避免时钟漂移和反向查询出现问题。
注: 本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。