Users Guide
Smart Card 登录故障排除
以下提示可帮助您调试无法访问的 Smart Card:
ActiveX 插件无法检测到 Smart Card 阅读器
确保 Microsoft Windows 操作系统支持 Smart Card。Windows 支持有限的几种智能卡加密服务提供程序 (CSP)。
提示:在常规检查过程中,要查看 Smart Card CSP 是否位于特定客户端上,在出现 Windows 登录 (Ctrl-Alt-Del) 屏幕时将 Smart Card 插入阅读器并检查 Windows 是否
检测到 Smart Card 并显示 PIN 对话框。
不正确的智能卡 PIN
检查智能卡是否因为用不正确的 PIN 尝试太多次而已锁定。在这种情况下,组织中的智能卡颁发者应能够帮助获得新的智能卡。
无法以 Active Directory 用户的身份 登 录 CMC
如果无法以 Active Directory 用户的身份登录 CMC,则尝试在不启用 Smart Card 登录的情况下登录 CMC。还可以选择用以下命令通过本地 RACADM 禁用 Smart Card 登
录:
racadm config -g cfgActiveDirectory -o cfgADSCLEnable 0
racadm config -g cfgActiveDirectory -o cfgADSSOEnable 0
使用 CMC 及通用 LDAP
CMC 管理员现在可集成 LDAP 服务器用户登录和 CMC。此集成要求在 LDAP 和 CMC 服务器上配置。在 LDAP 服务器上,标准组对象用作角色组。具有 CMC 权限的用户将是该角色组
的成员。权限仍储存于 CMC 上用于授权,类似于 Active Directory 支持下标准架构的工作方式。
若要支持 LDAP 用户访问特定的 CMC 卡,则必须在特定的 CMC 卡上配置角色组名称及其域名。每个 CMC 可配置最多 5 个角色组。 表 5-41 显示了角色组的权限级别而 表 8-1 显示
了默认角色组设置。
图 8-5.配置 CMC 及通用 LDAP
配置通用 LDAP 目录访问 CMC
CMC 的通用 LDAP 实施在授予用户访问权限时分两阶段。第 1 阶段从用户验证开始,而第 2 阶段则为用户授权。
LDAP 用户的验证和授权
有些域服务器要求在特定 LDAP 服务器上进行搜索前完成绑定。验证的步骤为:
1. 可选绑定到目录服务。默认为匿名绑定。
2. 根据用户登录搜索用户。默认属性为 uid。
3. 如果找到一个以上的对象,则返回错误。
4. 解除绑定并以用户的 DN 和密码进行绑定。