Users Guide
使用 CMC 目录服务
261
配置 Smart Card 双重验证
传统的验证模式使用用户名和密码来验证用户。而双重验证则提供了更高
的安全性,要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实
物卡。 Kerberos 是一种使用此双重验证机制的网络验证协议,使系统可以
证明其真实性。Microsoft Windows 2000、Windows XP、Windows Server
2003、Windows Vista 和 Windows Server 2008 将 Kerberos 用作首选的验证
方法。从 CMC 版本 2.10 开始,CMC 可以通过 Kerberos 支持 Smart Card
登录。
注:
选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。
您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界
面,请导航至 Services (服务)页并禁用所有 (或某些)登录界面。
系统要求
Smart Card 的第 256 页上的 “系统要求” 与单一登录相同。
配置设置
Smart Card 的第 257 页上的 “前提条件” 与单一登录相同。
配置 Active Directory
配置 Active Directory:
1
如果
Active Directory
的
Kerberos
领域和
Key Distribution Center (KDC)
尚未配置,则进行设置
(ksetup)
。
注:
确保具有强健的 NTP 和 DNS 基础设施,以避免时钟漂移和反向查
询出现问题。
2
为每个
CMC
创建
Active Directory
用户,配置为使用
Kerberos DES
加
密,而不是预验证。
3
使用
Ktpass
在
Key Distribution Center
注册
CMC
用户(这也会将一个
密钥上载到
CMC
)。
配置 CMC
注:
本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。
将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关
详情,请参阅第 232 页上的 “配置标准架构 Active Directory 访问
CMC”。