ANMERKUNG: Falls Sie Active Directory auf Windows 2003 verwenden, müssen Sie sicherstellen,
dass die neuesten Service-Packs und -Patches auf dem Client-System installiert sind. Falls Sie
Active Directory auf Windows 2008 verwenden, müssen Sie sicherstellen, dass SP1 sowie die
folgenden Hotfixes installiert sind:
Windows6.0-KB951191-x86.msu für das Dienstprogramm KTPASS. Ohne dieses Patch erzeugt
das Dienstprogramm fehlerhafte Keytab-Dateien.
Windows6.0-KB957072-x86.msu für Verwendung von GSS_API- und SSL-Transaktionen
während einer LDAP-Bindung.
•
Kerberos-Schlüsselverteilungscenter – KDC (mit der Active Directory-Serversoftware)
•
DHCP-Server (empfohlen).
•
Die DNS-Server-Reverse-Zone muss einen Eintrag für den Active Directory-Server und den CMC
enthalten.
Client-Systeme
•
Für reine Smart Card-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft
Visual C++ 2005 enthalten. Weitere Informationen finden Sie unter www.microsoft.com/downloads/
details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
•
Für einfache Anmeldung oder Smart Card-Anmeldung muss das Clientsystem ein Teil der Active
Directory-Domäne und des Kerberos-Bereichs sein.
CMC
•
Der CMC muss Firmwareversion 2.10 oder neuer aufweisen.
•
Jeder CMC muss ein Active Directory-Konto haben.
•
Der CMC muss ein Teil der Active Directory-Domäne und des Kerberos-Bereichs sein.
Vorbedingungen für die einfache Anmeldung oder Smart
Card-Anmeldung
Die Voraussetzungen für die Konfiguration der SSO- oder Smart Card-Anmeldungen lauten wie folgt:
•
Einrichtung des Kerberos-Bereichs und Key Distribution Centers (KDC)) für Active Directory (ksetup).
•
Gewährleisten Sie eine robuste NTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit
Clock-Drift und Reverse-Lookup.
•
Konfiguration des CMC mit der Standardschema-Rollengruppe mit autorisierten Mitgliedern.
•
Erstellen Sie für Smart Card „Active Directory-Benutzer" für jeden CMC und konfigurieren Sie
Kerberos-DES-Verschlüsselung, jedoch nicht Vorauthentifizierung.
•
Browser für SSO oder Smart Card-Anmeldung konfigurieren
•
Registrieren Sie die CMC-Benutzer mit Ktpass beim Schlüsselverteilungscenter (dies erzeugt auch
einen Schlüssel zum Hochladen auf den CMC).
Verwandte Links
Active Directory-Standardschema konfigurieren
Active Directory mit erweitertem Schema konfigurieren
Browser für SSO-Anmeldung konfigurieren
Kerberos Keytab-Datei generieren
Browser für Smart Card-Anmeldung konfigurieren
178