Users Guide
MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008könnenKerberos(einNetzwerk-
Authentifizierungsprotokoll)alsAuthentifizierungsmethodeverwendenundBenutzern,diesichbeiderDomäneangemeldethaben,automatischeoder
einfacheAnmeldungfürnachfolgendeAnwendungenwieExchangeermöglichen.
BeginnendmitCMCVersion2.10kannderCMCKerberosverwenden,umzweizusätzlicheAuthentifizierungsmechanismen,einfacheAnmeldungundSmart
Card-Anmeldung,zuunterstützen.BeidereinfachenAnmeldungverwendetderCMCdieAnmeldeinformationendesClientsystems,dieimBetriebssystem
zwischengespeichertwerden,nachdemSiesichmiteinemgültigenActiveDirectory-Konto angemeldet haben.
Systemanforderungen
Zu Verwendung der Kerberos-Authentifizierung muss Ihr Netzwerk Folgendes enthalten:
l DNS-Server
l Microsoft Active Directory-Server
l Kerberos-Schlüsselverteilungscenter– KDC (mit der Active Directory-Serversoftware)
l DHCP-Server (empfohlen)
l Die DNS-Server-Reverse-ZonemusseinenEintragfürdenActiveDirectory-Server und den CMC enthalten.
Clientsysteme
l FürreineSmartCard-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++ 2005 enthalten. Weitere Informationen
finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
l FüreinfacheAnmeldungundSmartCard-Anmeldung muss das Clientsystem ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein.
CMC
l Der CMC muss Firmwareversion 2.10 oder neuer aufweisen.
l Jeder CMC muss ein Active Directory-Konto haben.
l Der CMC muss ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein.
Einstellungen konfigurieren
Vorbedingungen
l Der Kerberos-Bereich und das Kerberos-Schlüsselverteilungscenter(KDC)fürActiveDirectory(AD)wurdeneingerichtet(ksetup).
l GewährleistenSieeinerobusteNTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup.
l Die CMC-Standardschema-Rollengruppe mit autorisierten Mitgliedern
Active Directory konfigurieren
Konfigurieren Sie im Dialogfeld CMC-Eigenschaften im Optionsabschnitt Konten die folgenden Einstellungen:
l DemKontowirdfürDelegierungszweckevertraut – Der CMC verwendet derzeit keine weitergeleiteten Anmeldeinformationen, wenn diese Option
ausgewähltist.SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernichtauswählen.
l Konto ist vertraulich und kann nicht delegiert werden – SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernicht
auswählen.
l DES-VerschlüsselungstypenfürdiesesKontoverwenden – WählenSiedieseOptionaus.
l Keine Kerberos-Vorauthentifizierung erforderlich – WählenSiedieseOptionnichtaus.
FührenSiedasDienstprogrammktpass(TeilvonMicrosoftWindows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC einem
BenutzerkontoinActiveDirectoryzuordnenmöchten.Beispiel:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen
auchsonstigeRichtlinienattributefürandereAnmeldeschnittstellenfestlegen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,
navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.
ANMERKUNG: FallsSieActiveDirectoryunterWindows2003verwenden,müssenSiesicherstellen,dassdieneuestenService-Packs und Patches
aufdemClientsysteminstalliertsind.FallsSieActiveDirectoryunterWindows2008verwenden,müssenSiesicherstellen,dassSP1sowiedie
folgenden Hotfixes installiert sind.
Windows6.0-KB951191-x86.msufürdasDienstprogrammKTPASS.OhnediesesPatcherzeugtdasDienstprogrammfehlerhafte Keytab-Dateien.
Windows6.0-KB957072-x86.msufürVerwendungvonGSS_API- und SSL-TransaktionenwährendeinerLDAP-Bindung.