Users Guide
CMC
• 每个 CMC 都必须有 Active Directory 帐户。
• CMC 必须是 Active Directory 域和 Kerberos 领域的一部分。
单点登录或智能卡登录的前提条件
配置 SSO 或智能卡登录的前提条件包括:
• 为 Active Directory (ksetup) 设置 kerberos 领域和密钥分发中心 (KDC)。
• 强健的 NTP 和 DNS 基础结构以避免时钟漂移和反向查询出现问题。
• 使用包含授权成员的 Active Directory 标准架构角色组配置 CMC。
• 对于智能卡,为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
• 配置浏览器实现 SSO 或智能卡登录。
• 使用 Ktpass 在密钥分发中心注册 CMC 用户(这也会将密钥上载到 CMC)。
生成 Kerberos Keytab 文件
为了支持 SSO 和智能卡登录验证,CMC 支持 Windows Kerberos 网络。ktpass 工具(Microsoft 在服务器安
装 CD/DVD 中提供)用于创建与用户帐户的服务主体名称 (SPN) 绑定并将信任信息导出到 MIT-style
Kerberos keytab
文件。有关 ktpass 公用程序的更多信息,请参阅 Microsoft 网站。
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户,以便与 ktpass 命令的 -mapuser 选项一
起使用。您必须使用与上载生成的 keytab 文件的 CMC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 CMC 映射到 Active Directory 中的用户帐户的域控制器(Active Directory 服务器)上运行
ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
注: RFC 要求 cmcname.domainname.com 必须小写,而 @REALM_NAME 必须大写。此外,CMC
支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。
所生成的 keytab 文件必须上载到 CMC。
注: keytab 包含加密密钥,必须妥善保管。有关 ktpass 公用程序的更多信息,请参阅 Microsoft 网
站。
配置 CMC 以使用 Active Directory 架构
有关配置 CMC 以使用 Active Directory 标准架构的信息,请参阅配置标准架构 Active Directory。
有关配置 CMC 以使用扩展架构 Active Directory 的信息,请参阅扩展架构 Active Directory 概览。
配置浏览器以使用 SSO 登录
Internet Explorer 版本 6.0 和更高版本及 Firefox 版本 3.0 和更高版本支持单点登录 (SSO)。
130