Users Guide
GUID-8A9973B6-2D4A-4C85-AF24-FD65A09774D0
CMC
• CMC 必须有固件版本 2.10 或更高版本。
• 每个 CMC 都必须有 Active Directory 帐户。
• CMC 必须是 Active Directory 域和 Kerberos 领域的一部分。
GUID-7ADE6FD8-082B-421E-804F-523FC57B3824
单点登录或智能卡登录的前提条件
配置 SSO 或智能卡登录的前提条件包括:
• 为 Active Directory (ksetup) 设置 kerberos 领域和密钥分发中心。
• 强健的 NTP 和 DNS 基础结构以避免时钟漂移和反向查询出现问题。
• 使用包含授权成员的 Active Directory 标准架构角色组配置 CMC。
• 对于智能卡,为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
• 配置浏览器实现 SSO 或智能卡登录。
• 使用 Ktpass 在密钥分发中心注册 CMC 用户(这也会将密钥上载到 CMC)。
相关链接
配置标准架构 Active Directory
配置扩展架构 Active Directory
配置浏览器以使用 SSO 登录
生成 Kerberos Keytab 文件
配置浏览器以使用智能卡登录
GUID-F8144D51-3120-41D4-8D60-1F0DE81A40F9
生成
Kerberos Keytab
文件
要支持 SSO 和智能卡登录验证,CMC 支持 Windows Kerberos 网络。ktpass 工具(Microsoft 在服务器安装 CD/DVD 中提供)
用于创建与用户帐户的服务主体名称 (SPN) 绑定并将信任信息导出到 MIT-style Kerberos keytab 文件。有关 ktpass 公用程序的
更多信息,请参阅 Microsoft 网站。
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户与 ktpass 命令的 -mapuser 选项一起使用。您必须拥有与上
载生成的 keytab 文件使用的 CMC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 CMC 映射到 Active Directory 中用户帐户的域控制器(Active Directory 服务器)上运行 ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\>ktpass -princ HTTP/cmcname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -
crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
注: RFC 要求 cmcname.domainname.com 必须小写,而 @REALM_NAME 必须大写。此外,CMC 支持 Kerberos 验
证的 DES-CBC-MD5 类型的加密。
所生成的 keytab 文件必须上载到 CMC。
注: keytab 包含加密密钥,必须妥善保管。有关
ktpass
公用程序的更多信息,请参阅 Microsoft 网站。
GUID-BAF3C27C-05F8-4C6B-96F0-2348649CA578
配置 CMC 以使用 Active Directory 架构
有关配置 CMC 以使用 Active Directory 标准架构的信息,请参阅配置标准架构 Active Directory。
有关配置 CMC 以使用扩展架构 Active Directory 的信息,请参阅扩展架构 Active Directory 概述。
140