Users Guide
使用 CMC 目录服务
257
CMC
•CMC
必须有固件版本
2.10
或更高版本
•
每个
CMC
都必须有
Active Directory
帐户
•CMC
必须是
Active Directory
域和
Kerberos Realm
的一部分
配置设置
前提条件
•
已经设置了
Active Directory (AD)
的
Kerberos
领域和
Key Distribution
Center (KDC) (ksetup)
。
•
强健的
NTP
和
DNS
基础设施以避免时钟漂移和反向查询出现问题。
•
具有授权成员的
CMC
标准模式角色组。
配置 Active Directory
在 CMC Properties (CMC 属性)对话框的 Accounts (帐户)选项部分
下面,配置以下设置:
•
Account is trusted for delegation
(帐户可以委派其它帐户)
—
在选择
此选项时,当前
CMC
不使用创建的已转发凭据。能否选择此选项视
其它服务要求而定。
•
Account is sensitive and cannot be delegated
(敏感帐户,不能被委派)—
能否选择此选项视其它服务要求而定。
•
User Kerberos DES encryption types for the account
(帐户的用户
Kerberos DES
加密类型)—
选择此选项。
•
Do not require Kerberos preauthentication
(不要求
Kerberos
预验证)—
不选择此选项。
在希望将 CMC 映射到 Active Directory 中的用户帐户的域控制器上运行
ktpass 公用程序(Microsoft Windows 的一部分)。例如:
C:\>ktpass -princ
HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL
-pass * -out c:\krbkeytab
注:
RFC 要求
cmcname.domainname.com
必须小写,而 REALM 名称
@REALM_NAME
必须大写。此外,CMC 支持 Kerberos 验证的 DES-CBC-MD5
类型的加密。