Users Guide
10
CMC für die einfache Anmeldung oder Smart
Card-Anmeldung konfigurieren
Dieser Abschnitt enthält Informationen zum Konfigurieren von CMC für die Smart Card-Anmeldung sowie für die
einfache Anmeldung (Single Sign-On, SSO) von Active Directory-Benutzern.
Beginnend mit CMC Version 2.10 unterstützt CMC Kerberos-basierte Active Directory-Authentifizierung zum
Unterstützen von Smart Card- und -SSO-Anmeldungen.
SSO verwendet Kerberos als Authentifizierungsmethode, die Benutzern, die sich bei der Domäne angemeldet haben,
automatische oder einfache Anmeldung für nachfolgende Anwendungen wie Exchange ermöglicht. Bei der einfachen
Anmeldung verwendet der CMC die Anmeldeinformationen des Clientsystems, die im Betriebssystem
zwischengespeichert werden, nachdem Sie sich mit einem gültigen Active Directory-Konto angemeldet haben.
Die Zweifaktor-Authentifizierung bietet eine höhere Sicherheitsstufe, indem Benutzer aufgefordert werden, ein
Kennwort oder eine PIN sowie eine physische Karte mit einem privaten Schlüssel oder einem digitalen Zertifikat
bereitzustellen. Kerberos verwendet diesen Zweifaktor-Authentifizierungsmechanismus und ermöglicht es Systemen,
ihre Authentizität zu beweisen.
ANMERKUNG: Die Auswahl einer Anmeldemethode legt keine Richtlinienattribute hinsichtlich anderer
Anmeldeschnittstellen, z. B. SSH, fest. Sie müssen auch sonstige Richtlinienattribute für andere
Anmeldeschnittstellen festlegen. Falls Sie alle anderen Anmeldeschnittstellen deaktivieren möchten, navigieren
Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.
Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7 und Windows Server 2008
können Kerberos als Authentifizierungsmethode für SSO- und Smart Card-Anmeldung verwenden.
Weitere Informationen über Kerberos finden Sie auf der Microsoft-Website.
Verwandte Links
Systemanforderungen
Vorbedingungen für die einfache Anmeldung oder Smart Card-Anmeldung
CMC SSO oder Smart Card-Anmeldung für Active Directory-Benutzer konfigurieren
Systemanforderungen
Zur Verwendung der Kerberos-Authentifizierung muss Ihr Netzwerk Folgendes enthalten:
• DNS-Server
• Microsoft Active Directory-Server
ANMERKUNG: Falls Sie Active Directory unter Windows 2003 verwenden, müssen Sie sicherstellen, dass
die neuesten Service-Packs auf dem Clientsystem installiert sind. Falls Sie Active Directory unter Windows
2008 verwenden, müssen Sie sicherstellen, dass SP1 sowie die folgenden Hotfixes installiert sind:
Windows6.0-KB951191-x86.msu für das Dienstprogramm KTPASS. Ohne dieses Patch erzeugt das
Dienstprogramm fehlerhafte Keytab-Dateien.
Windows6.0-KB957072-x86.msu für Verwendung von GSS_API- und SSL-Transaktionen während einer
LDAP-Bindung.
• Kerberos-Schlüsselverteilungscenter – KDC (mit der Active Directory-Serversoftware)
143