Users Guide
以下控件可以上传和下载此证书:
l 上传 — 发起证书的上传过程。该证书可从 Active Directory 获取,授予对 CMC 的访问权限。
l 下载 — 发起下载过程。会提示您确定保存文件的位置。选择该选项后,单击“Next”(下一步),系统出现“File Download”(文件下载)对话框。通过该对话框指定服务器
认证在 management station 或共享网络的位置。
Kerberos Keytab
您可上传相关 Active Directory 服务器上生成的 Kerberos Keytab。您可以执行 ktpass.exe 公用程序,以从 Active Directory 服务器生成 Kerberos Keytab。此 Keytab 在
Active Directory 服务器和 CMC 之间建立信任关系。
允许以下操作:
l 浏览 — 打开“浏览”对话框,然后从中选择想要上传的服务器证书。
l 上传 — 用指定的文件路径发起证书的上传流程。
配置和管理通用轻型目录访问协议服务
您可使用通用轻型目录访问协议 (LDAP) 服务来配置软件,以提供到 CMC 的访问。LDAP 允许您添加和控制现有用户的 CMC 用户权限。
若要查看和配置 LDAP:
1. 登录到 Web 界面。
2. 单击“User Authentication”(用户验证)选项卡,然后单击“Directory Services”(目录服务)子选项卡。随即出现“Directory Services”(目录服务)页。
3. 单击通用 LDAP 的单选按钮。
4. 配置显示的选项并单击“Apply”(应用)。
表 5-45 列出了可用的配置选项。
表 5-45.常见设置
选择 LDAP 服务器
注:默认情况下,CMC 没有认证机构颁发的 Active Directory 服务器认证。您必须上载当前的、认证机构签字的服务器认证。
注:CMC 没有适用于 Active Directory 的 Kerberos Keytab。您必须上载当前生成的 Kerberos Keytab。有关详细信息,请参阅配置单一登录。
注:要为 CMC 配置 LDAP 设置,必须具备机箱配置管理员权限。
设置
说明
启用通用 LDAP
在 CMC 上启用通用 LDAP 服务。
用可分辨名称搜索组成员资格
指定允许其成员访问设备的 LDAP 组的可分辨名称 (DN)。
启用 SSL 证书验证
如果选择,CMC 使用 CA 证书验证 SSL 握手期间的 LDAP 服务器证书
“Bind DN”(绑定 DN)
在搜索登录用户的 DN 时,指定绑定到服务器的用户的可分辨名称。如果未提供,则使用匿名绑定。
密码
与绑定 DN 一起使用的绑定密码。
注:绑定密码属于敏感数据,应予以正确保护。
用于搜索的基础 DN
目录分支的域名,所有搜索都从此处开始。
用户登录的属性
指定要搜索的属性。如果未配置,默认使用 uid。推荐在选择的基础 DN 内唯一,否则必须配置搜索筛选器以保证登录用户的唯一性。如果用户 DN 不
能通过搜索属性和搜索筛选器组合而唯一识别,则登录失败并报错。
组成员资格属性
指定用于检查组成员资格的 LDAP 属性。必须是一个组类属性。如果未指定,则使用成员和唯一成员属性。
搜索筛选器
指定有效的 LDAP 搜索筛选器。如果用户属性不能在所选基础 DN 中唯一标识登录用户,将使用此功能。如果未指定,默认为 objectClass=*,显示
搜索树中的所有对象。此属性的最大长度为 1024 个字符。
网络超时(秒)
设置空闲的 LDAP 会话在等待多少秒后自动关闭。
搜索超时(秒)
设置搜索在等待多少秒后自动关闭。