Users Guide
CMC
• Cada CMC debe tener una cuenta de Active Directory.
• El CMC debe formar parte del dominio de Active Directory y del territorio de Kerberos.
Prerrequisitos para el inicio de sesión único o el inicio de sesión
mediante tarjeta inteligente
A continuación se indican los prerrequisitos para configurar el inicio de sesión único o el inicio de sesión mediante tarjeta inteligente:
• Configure el dominio Kerberos y el centro de distribución de claves (KDC) para Active Directory (ksetup).
• Una sólida infraestructura de NTP y DNS para evitar problemas de desfase de tiempo y búsqueda inversa.
• Configure la CMC y el grupo de funciones de esquema estándar de Active Directory con miembros autorizados.
• Para la tarjeta inteligente, cree usuarios de Active Directory para cada CMC, configurados para utilizar el cifrado DES de
Kerberos pero no la preautentificación.
• Configure el explorador para el inicio de sesión único o el inicio de sesión mediante tarjeta inteligente.
• Registre a los usuarios de CMC en el centro de distribución de claves con Ktpass (esto también genera una clave que se carga
en la CMC).
Generación del archivo Keytab de Kerberos
Para admitir la autenticación de inicio de sesión único (SSO) y de inicio de sesión mediante tarjeta inteligente, la CMC admite la red
Kerberos de Windows. La herramienta ktpass se utiliza para crear enlaces de nombre principal de servicio (SPN) a una cuenta de
usuario y exportar la información de confianza a un archivo keytab de Kerberos de estilo MIT. Para obtener más información sobre la
utilidad ktpass, consulte el sitio web de Microsoft.
Antes de generar un archivo keytab, debe crear una cuenta de usuario de Active Directory para utilizar con la opción -mapuser del
comando ktpass. Utilice un nombre igual al nombre de DNS de la CMC en la que cargó el archivo keytab generado.
Para generar un archivo keytab mediante la herramienta ktpass:
1. Ejecute la utilidad ktpass en la controladora de dominio (servidor de Active Directory) donde desee asignar el CMC a una
cuenta de usuario en Active Directory.
2. Utilice el comando ktpass siguiente para crear el archivo keytab de Kerberos:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp
set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
NOTA: Según los requisitos de RFC, el elemento cmcname.domainname.com se debe escribir en minúscula y
@REALM_NAME en mayúscula. Además, la CMC admite los tipos DES-CBC-MD5 y AES256-SHA1 de criptografía
para la autenticación de Kerberos.
Se generará un archivo keytab que se debe cargar en el CMC.
NOTA: El archivo keytab contiene una clave de cifrado y debe conservarse en un lugar seguro. Para obtener más
información sobre la utilidad
ktpass
, consulte el sitio web de Microsoft.
Configuración de la CMC para el esquema de Active Directory
Para obtener información sobre la forma de configurar la CMC para el esquema estándar de Active Directory, consulte
Configuración del esquema estándar de Active Directory.
Para obtener información sobre la forma de configurar la CMC para el esquema extendido de Active Directory, consulte Descripción
general del esquema extendido de Active Directory.
Configuración del explorador para el inicio de sesión único
El inicio de sesión único (SSO) es compatible con Internet Explorer versiones 6.0 y superiores, y Firefox versiones 3.0 y superiores.
112