Deployment Guide
Konfigurationsleitfaden 25
6
Komponenten für die
Kerberos-Authentifizierung/-Autorisierung konfigurieren
In diesem Abschnitt wird beschrieben, wie Komponenten zur Verwendung mit der
Kerberos-Authentifizierung/-Autorisierung konfiguriert werden.
Komponenten für die Kerberos-Authentifizierung/-Autorisierung konfigurieren
HINWEIS: Wenn die Kerberos-Authentifizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key Server-Komponente
enthält, zur betroffenen Domäne gehören.
Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen. Wenn ein Client einen
Verbindungsversuch unternimmt, wird mithilfe von Kerberos-APIs eine sichere Verbindung ausgehandelt, authentifiziert
und verschlüsselt (wenn keine sichere Verbindung ausgehandelt werden kann, wird die Client-Verbindung getrennt).
Der Key Server überprüft dann auf dem Device Server, ob der Benutzer, der den Client ausführt, auf Schlüssel zugreifen
darf. Dieser Zugriff wird in der Remote Management Console über
einzelne
Domänen gewährt.
Anleitungen für das Windows-Dialogfeld „Dienste“
1
Navigieren Sie zum Windows-Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK).
2
Klicken Sie mit der rechten Maustaste auf „Dell Key Server“ und wählen Sie
Eigenschaften
aus.
3
Rufen Sie die Registerkarte
Anmelden
auf und wählen Sie das Optionsfeld
Dieses Konto:
aus.
4
Geben Sie in das Feld
Dieses Konto:
den gewünschten Domänenbenutzer ein. Dieser Domänenbenutzer muss
mindestens über lokale Administratorrechte für den Key Server-Ordner verfügen (er muss Schreibzugriff für die Key
Server-Konfigurationsdatei und die Datei „log.txt“ besitzen).
5
Klicken Sie auf
OK
.
6
Starten Sie den Dienst neu (lassen Sie das Windows-Dialogfeld „Dienste“ für weitere Arbeitsschritte geöffnet).
7
Navigieren Sie zu „<Key Server-Installationsverzeichnis> log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet
wurde.
Anleitungen für die Key Server-Konfigurationsdatei
1
Navigieren Sie zu <Key Server-Installationsverzeichnis>.
2
Öffnen Sie „Credant.KeyServer.exe.config“ mit einem Texteditor.
3
Gehen Sie zu <add key="user" value="superadmin" /> und ändern Sie den Wert „superadmin“ in den Namen des
entsprechenden Benutzers (Sie können auch „superadmin“ stehen lassen).
Das Format von „superadmin“ kann jede Methode sein, die sich beim Server authentifizieren kann. Der
SAM-Kontoname, der UPN oder das Format „Domäne\Benutzername“ sind akzeptabel. Jede Methode, die sich beim
Server authentifizieren kann, ist akzeptabel, da für
dieses
Benutzerkonto eine Überprüfung zur Autorisierung bei Active
Directory erforderlich ist.
Beispiel: In einer Umgebung mit mehreren Domänen würde die Eingabe eines SAM-Kontonamens wie „jdoe“
vermutlich fehlschlagen, da der Server „jdoe“ nicht authentifizieren kann, weil er den Namen nicht findet. In einer
Umgebung mit mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne\Benutzername“ akzeptabel
ist.
In einer Umgebung mit einer Domäne kann der SAM-Kontoname verwendet werden.