Users Guide
1. 使用网络帐户登录客户端系统。
2. 使用以下方式访问 CMC Web 页面
https://<CMC
名称
.
域名
>
例如,cmc-6G2WXF1.cmcad.lab
其中,cmc-6G2WXF1 是 CMC 名称
cmcad.lab 是域名。
将显示CMC“Single Sign-On”(单一登录)页。
3. 单击“Login”(登录)。
CMC 会使用在您使用有效 Active Directory 帐户登录时浏览器高速缓存的 Kerberos 凭据来使您登录。如果登录失败,浏览器将重定向至正常的 CMC 登录页。
配置 Smart Card 双重验证
传统的验证模式使用用户名和密码来验证用户。而双重验证则提供了更高的安全性,要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实物卡。Kerberos 是一种使用此双重验证机
制的网络验证协议,使系统可以证明其真实性。Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 将 Kerberos
用作首选的验证方法。从 CMC 版本 2.10 开始,CMC 可以通过 Kerberos 支持 Smart Card 登录。
系统要求
Smart Card 的系统要求与单一登录相同。
配置设置
Smart Card 的前提条件与单一登录相同。
配置 Active Directory
配置 Active Directory:
1. 如果 Active Directory 的 Kerberos 领域和 Key Distribution Center (KDC) 尚未配置,则进行设置 (ksetup)。
2. 为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
3. 使用 Ktpass 在 Key Distribution Center 注册 CMC 用户(这也会将一个密钥上载到 CMC)。
配置 CMC
将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情,请参阅配置标准架构 Active Directory 访问 CMC。
上载 Kerberos Keytab 文件
Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据,KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active
注:如果您更改了默认 HTTPS 端口号(端口 80),则使用 <CMC
名称
.
域名
>:<
端口号
> 访问 CMC Web 页面,其中 CMC 名称 是 CMC 的 CMC 主机名,域名是域名
称,端口号是 HTTPS 端口号。
注:如果您没有登录到 Active Directory 域,而且使用的是除 Internet Explorer 以外的浏览器,则登录将失败,而且浏览器仅显示空白页。
注:选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航至“Services”
(服务)页并禁用所有(或某些)登录界面。
注:确保具有强健的 NTP 和 DNS 基础设施,以避免时钟漂移和反向查询出现问题。
注:本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。