Users Guide
10
Configuration de CMC pour la connexion directe
(SSO) ou la connexion par carte à puce
Cette section fournit des informations sur la configuration de CMC pour la connexion par carte à puce et pour la
connexion directe (SSO) des utilisateurs Active Directory.
Depuis CMC version 2.10, CMC prend en charge l'authentification Active Directory basée sur Kerberos pour la gestion
des connexions directes (SSO) et par carte à puce.
La connexion SSO utilise Kerberos comme méthode d'authentification, ce qui permet aux utilisateurs connectés au
domaine de se connecter automatiquement (connexion directe) aux autres applications, notamment Exchange. Pour la
connexion directe, CMC utilise les références du système client, mises en cache par le système d'exploitation après
votre connexion à l'aide d'un compte Active Directory valide.
L'authentification à deux facteurs fournit un niveau élevé de sécurité, car les utilisateurs doivent disposer à la fois d'un
mot de passe (ou code PIN), et d'une carte physique contenant une clé privée ou un certificat numérique. Kerberos
utilise ce mécanisme d'authentification à deux facteurs pour autoriser les systèmes à prouver leur authenticité.
REMARQUE : Le choix d'une méthode de connexion ne définit pas les attributs de stratégie concernant les autres
interfaces de connexion, comme SSH. Vous devez également définir d'autres attributs de stratégie pour ces autres
interfaces. Si vous souhaitez désactiver toutes les autres interfaces de connexion, naviguez jusqu'à la page
Services et désactivez toutes les interfaces de connexion (ou seulement certaines).
Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008
peuvent utiliser Kerberos comme mécanisme d'authentification pour la connexion directe (SSO) et la connexion par
carte à puce.
Pour plus d'informations sur Kerberos, visitez le site Web Microsoft.
Liens connexes
Configuration système requise
Prérequis pour la connexion directe ou par carte à puce
Configuration de la connexion directe ou par carte à puce CMC pour les utilisateurs Active Directory
Configuration système requise
Pour que vous puissiez utiliser l'authentification Kerberos, votre réseau doit inclure les éléments suivants :
• Serveur DNS
• Microsoft Active Directory Server
REMARQUE : Si vous utilisez Active Directory sous Windows 2003, vérifiez que vous avez bien installé les
derniers Service Packs et correctifs sur le système client. Si vous utilisez Active Directory sous
Windows 2008, veillez à installer SP1 avec les correctifs Hot Fix suivants :
Windows6.0-KB951191-x86.msu pour l'utilitaire KTPASS. Sans ce correctif, l'utilitaire génère des fichiers
keytab incorrects.
Windows6.0-KB957072-x86.msu pour utiliser les transactions GSS_API et SSL pendant une liaison LDAP.
• Centre de distribution de clés Kerberos (fourni avec le logiciel du serveur Active Directory Server)
• Serveur DHCP (recommandé)
141