Client-Systeme; Cmc; Vorbedingungen Für Die Einfache Anmeldung Oder Smart Card-Anmeldung; Kerberos Keytab-Datei Generieren - Dell PowerEdge VRTX Benutzerhandbuch
Vorschau ausblenden
Andere Handbücher für PowerEdge VRTX:
- Benutzerhandbuch (160 Seiten) ,
- Handbuch (15 Seiten) ,
- Zum einstieg (2 Seiten)
Inhaltsverzeichnis
Werbung
Client-Systeme
•
Für reine Smart Card-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++
2005 enthalten. Weitere Informationen finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
•
Für einfache Anmeldung oder Smart Card-Anmeldung muss das Clientsystem ein Teil der Active Directory-
Domäne und des Kerberos-Bereichs sein.
CMC
•
Jeder CMC muss ein Active Directory-Konto haben.
•
Der CMC muss ein Teil der Active Directory-Domäne und des Kerberos-Bereichs sein.
Vorbedingungen für die einfache Anmeldung oder Smart Card-
Anmeldung
Die Voraussetzungen für die Konfiguration der SSO- oder Smart Card-Anmeldungen lauten wie folgt:
•
Einrichtung des Kerberos-Bereichs und Key Distribution Centers (KDC)) für Active Directory (ksetup).
•
Gewährleisten Sie eine robuste NTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und
Reverse-Lookup.
•
Konfiguration des CMC mit der Standardschema-Rollengruppe mit autorisierten Mitgliedern.
•
Erstellen Sie für Smart Card „Active Directory-Benutzer" für jeden CMC und konfigurieren Sie Kerberos-DES-
Verschlüsselung, jedoch nicht Vorauthentifizierung.
•
Browser für SSO oder Smart Card-Anmeldung konfigurieren
•
Registrieren Sie die CMC-Benutzer mit Ktpass beim Schlüsselverteilungscenter (dies erzeugt auch einen
Schlüssel zum Hochladen auf den CMC).
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentifizierung unterstützt CMC das Windows-Kerberos-
Netzwerk. Mit dem ktpass-Hilfsprogramm (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt)
werden die Bindungen des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und
die Vertrauensinformationen in eine MIT-artige Kerberos-Keytab-Datei exportiert. Weitere Informationen zum
Dienstprogramm ktpass finden Sie auf der Microsoft-Website.
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -
mapuser des Befehls ktpass einrichten. Außerdem müssen Sie denselben Namen verwenden wie den CMC-DNS-
Namen, zu dem Sie die erstellte Keytab-Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1.
Führen Sie das Dienstprogramm
den CMC einem Benutzerkonto in Active Directory zuordnen möchten.
2.
Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
ANMERKUNG: Der cmcname.domainname.com muss gemäß RFC in Kleinbuchstaben und der
@REALM_NAME muss in Großbuchstaben angegeben werden. Darüber hinaus unterstützt der CMC den DES-
CBC-MD5-Typ von Kryptographie für Kerberos-Authentifizierung.
130
ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie
Werbung
Inhaltsverzeichnis
Fehlerbehebung
