Users Guide

ManualsBrandsDell ManualsComputer HardwarePowerEdge FX2/FX2s

111

112

113

114

115

116

117

118

119

120

Client-Systeme

• Für reine Smart Card-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++ 2005 enthalten.

Weitere Informationen finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=

32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en

• Für einfache Anmeldung oder Smart Card-Anmeldung muss das Clientsystem ein Teil der Active Directory-Domäne und des Kerberos-

Bereichs sein.

CMC

• Jeder CMC muss ein Active Directory-Konto haben.

• Der CMC muss ein Teil der Active Directory-Domäne und des Kerberos-Bereichs sein.

Voraussetzungen für die Single sign-on-

Anmeldung und die Smart Card-Anmeldung

Die Voraussetzungen für die Konfiguration der SSO- oder Smart Card-Anmeldungen lauten wie folgt:

• Einrichtung des Kerberos-Bereichs und Key Distribution Centers (KDC) für Active Directory (ksetup).

• Gewährleisten Sie eine robuste NTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup.

• Konfiguration des CMC mit der Standardschema-Rollengruppe mit autorisierten Mitgliedern.

• Erstellen Sie für Smart Card „Active Directory-Benutzer“ für jeden CMC und konfigurieren Sie Kerberos-DES-Verschlüsselung, jedoch

nicht Vorauthentifizierung.

• Browser für SSO oder Smart Card-Anmeldung konfigurieren

• Registrieren Sie die CMC-Benutzer mit Ktpass beim Schlüsselverteilungscenter (dies erzeugt auch einen Schlüssel zum Hochladen auf

den CMC).

Kerberos Keytab-Datei generieren

Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentifizierung unterstützt CMC das Windows-Kerberos-Netzwerk. Mit

dem ktpass-Hilfsprogramm werden die Bindungen des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto

erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-Keytab-Datei exportiert. Weitere Informationen zum Dienstprogramm

ktpass finden Sie auf der Microsoft-Website.

Erstellen Sie vor dem Generieren einer Keytab-Datei ein Active Directory-Benutzerkonto zur Verwendung mit der Option -mapuser des

Befehls ktpass. Verwenden Sie den Namen, der dem CMC-DNS-Namen entspricht, zu dem Sie die erstellte Keytab-Datei hochladen.

So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:

1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC einem

Benutzerkonto in Active Directory zuordnen möchten.

2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp

set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab

ANMERKUNG:

Der cmcname.domainname.com muss gemäß RFC in Kleinbuchstaben und der @REALM_NAME in

Großbuchstaben angegeben werden. Darüber hinaus unterstützt CMC die Kryptographietypen DES-CBC-MD5 und

AES256-SHA1 für die Kerberos-Authentifizierung.

Dieses Verfahren erstellt eine Keytab-Datei, die Sie zum CMC hochladen müssen.

ANMERKUNG:

Die Keytab-Datei enthält einen Verschlüsselungsschlüssel und muss an einem sicheren Ort

aufbewahrt werden. Weitere Informationen zum Dienstprogramm

ktpass

finden Sie auf der Microsoft-Website.

120 Konfigurieren von CMC für Single sign-on oder Smart Card-Anmeldung