Users Guide
GUID-8405F29C-DBB9-4B5D-916F-C8173423D797
10
配置 CMC 进行单点登录或智能卡登录
此部分为 Active Directory 用户提供配置 CMC 进行智能卡登录和单点登录 (SSO) 的信息。
从 CMC 2.10 版开始,CMC 提供基于 Kerberos 的 Active Directory 验证来支持智能卡登录和 SSO 登录。
SSO 使用 kerberos 作为验证方法,使已经登录到域的用户可以自动登录或单一登录到 Exchange 等随后的应用程序。对于单一
登录,CMC 使用客户端系统的凭据。您使用有效的 Active Directory 帐户登录之后操作系统就会高速缓存这些凭据。
双重验证则提供了更高级别的安全性,要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实物卡。Kerberos 使用此双重
验证机制使系统可以证明其真实性。
注: 选择登录方法不会设置与诸如 SSH 等其他登录界面相关的策略属性。您还必须设置其他登录界面的其他策略属性。
如果您要禁用所有其他登录界面,请导航至服务页并禁用所有(或某些)登录界面。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7 和 Windows Server 2008 可以使用
Kerberos 作为 SSO 和智能卡登录的验证机制。
有关 Kerberos 的信息,请参阅 Microsoft 网站。
相关链接
系统要求
单点登录或智能卡登录的前提条件
为 Active Directory 用户配置 CMC SSO 登录或智能卡登录
GUID-621DA123-5F81-4CC3-9AFE-012D36C2BEB5
系统要求
要使用 Kerberos 验证方法,网络必须包括:
• DNS 服务器
• Microsoft Active Directory 服务器
注: 如果您在 Windows 2003 上使用 Active Directory,请确保客户端系统上安装了最新的 Service Pack 和增补软件。
如果您在 Windows 2008 上使用 Active Directory,请确保安装了 SP1 和以下热补丁:
用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件,该公用程序会生成错误 Keytab 文
件。
Windows6.0-KB957072-x86.msu,用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。
• Kerberos Key Distribution Center(与 Active Directory Server 软件一起打包)。
• DHCP 服务器(推荐)。
• DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目。
GUID-020F2A13-2742-47A3-9B36-061692280BC7
客户端系统
• 对于只通过智能卡的登录,客户端系统必须具有 Microsoft Visual C++ 2005 Redistributable。有关更多信息,请参阅
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
• 对于单点登录或智能卡登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
139