Users Guide

Smart Card 登录故障排除

以下提示可帮助您调试无法访问的 Smart Card：

ActiveX 插件无法检测到 Smart Card 阅读器

确保 Microsoft Windows 操作系统支持 Smart Card。Windows 支持有限的几种智能卡加密服务提供程序 (CSP)。

提示：在常规检查过程中，要查看 Smart Card CSP 是否位于特定客户端上，在出现 Windows 登录 (Ctrl-Alt-Del) 屏幕时将 Smart Card 插入阅读器并检查 Windows 是否

检测到 Smart Card 并显示 PIN 对话框。

不正确的智能卡 PIN

检查智能卡是否因为用不正确的 PIN 尝试太多次而已锁定。在这种情况下，组织中的智能卡颁发者应能够帮助获得新的智能卡。

无法以 Active Directory 用户的身份登录 CMC

如果无法以 Active Directory 用户的身份登录 CMC，则尝试在不启用 Smart Card 登录的情况下登录 CMC。还可以选择用以下命令通过本地 RACADM 禁用 Smart Card 登

录：

racadm config -g cfgActiveDirectory -o cfgADSCLEnable 0

racadm config -g cfgActiveDirectory -o cfgADSSOEnable 0

使用 CMC 及通用 LDAP

CMC 管理员现在可集成 LDAP 服务器用户登录和 CMC。此集成要求在 LDAP 和 CMC 服务器上配置。在 LDAP 服务器上，标准组对象用作角色组。具有 CMC 权限的用户将是该角色组

的成员。权限仍储存于 CMC 上用于授权，类似于 Active Directory 支持下标准架构的工作方式。

若要支持 LDAP 用户访问特定的 CMC 卡，则必须在特定的 CMC 卡上配置角色组名称及其域名。每个 CMC 可配置最多 5 个角色组。表 5-41 显示了角色组的权限级别而表 8-1 显示

了默认角色组设置。

图 8-5.配置 CMC 及通用 LDAP



配置通用 LDAP 目录访问 CMC

CMC 的通用 LDAP 实施在授予用户访问权限时分两阶段。第 1 阶段从用户验证开始，而第 2 阶段则为用户授权。



LDAP 用户的验证和授权

有些域服务器要求在特定 LDAP 服务器上进行搜索前完成绑定。验证的步骤为：



1. 可选绑定到目录服务。默认为匿名绑定。



2. 根据用户登录搜索用户。默认属性为 uid。



3. 如果找到一个以上的对象，则返回错误。



4. 解除绑定并以用户的 DN 和密码进行绑定。