32.2 鉴定机制
以下机制可用于向 ZENworks 管理区域鉴定受管设备:
32.2.1 Kerberos(仅适用于 Active Directory)
Kerberos* 是 MIT 开发的一种鉴定协议,要求需要通过不安全网络进行通讯的实体(例如一个用户和一个网络服务)互相提供各自的身份,以便可以进行安全鉴定。
Windows Active Directory 环境自带了 Kerberos 功能。
Kerberos 要求使用密钥发行中心 (KDC) 作为这些实体之间信任的第三方。所有 Kerberos 服务器计算机都需要一个 keytab 文件,以鉴定到密钥发行中心 (KDC)。该 keytab 文件是主机密钥在本地磁盘上的一份加密副本。
使用 Kerberos 鉴定时,Active Directory 服务器会生成 Novell 通用鉴定服务适配器 (CASA) 用于鉴定用户的 Kerberos 票据,而不是使用用户名和口令。
在 ZENworks 环境中设置 Kerberos
-
设置 Kerberos 服务主体帐户并为该帐户生成一个 keytab 文件。
有关详细信息,请参见 Microsoft TechNet 网站。
例如,如果您在域中创建了一个名为 atsserver 的用户,则需要在命令提示符处运行以下命令:
ktpass /princ host/atsserver.users.myserver.com@MYSERVER.COM -pass atsserver 口令 -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL
此命令会创建一个 keytab 文件并将用户 atsserver 修改为 Kerberos 主体。
-
将 keytab 文件导入到 ZENworks 控制中心。
-
在 ZENworks 控制中心中,依次单击选项卡、和。
-
单击
浏览并选择 keytab 文件。
-
单击“确定”导入该文件。
-
添加用户来源时启用 Kerberos 鉴定
您可以在添加用户来源时启用 Kerberos 鉴定。有关更多信息,请参见部分 31.2.1, 添加用户来源。
对现有的用户来源启用 Kerberos 鉴定
您可以对现有的用户来源启用 Kerberos 鉴定。
-
在“ZENworks 控制中心”内,单击选项卡。
-
在“用户来源”面板中,单击位于“一般”部分中旁边的。
-
选中 复选框,然后单击。
了解 Kerberos 鉴定和 ZENworks 登录对话框的互动方式
下表对使用 Active Directory 进行 Kerberos 鉴定的 ZENworks 用户体验作了说明:
表 32-1 使用 Active Directory 的 ZENworks Kerberos 鉴定
|
Windows 登录与用户来源登录是否匹配? |
ZENworks 是否还使用用户名/口令鉴定? |
是否属于同一域的成员? |
是否属于不同域的成员? |
Windows 与 ZENworks 身份凭证是否匹配? |
是否可以登录到管理区域? |
是否会显示 ZENworks 登录对话框? |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
是 |
否 |
|
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
是 |
|
|
|
|
|
否 |
否 |
|
|
|
|
|
否 |
否 |
|
|
|
|
|
否 |
否 |
|
|
|
|
|
否 |
否 |
|
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
是 |
例如,在第二行中,用户的初始登录、用户来源和 ZENworks 登录凭证匹配。结果是用户可以登录 ZENworks 管理区域,并且系统不会显示 ZENworks 登录对话框。
再举一个例子,在第三行中,用户初始登录凭证使用的不是相同域的身份凭证,并且与 ZENworks 登录凭证不同。结果是用户可以登录 ZENworks 管理区域,但系统将会显示 ZENworks 登录对话框。
32.2.2 共享机密
使用共享机密鉴定时,必须安装并配置 Novell Identity Assurance Solution Client。有关详细信息以及支持的智能卡读卡器和智能卡的列表,请参见 Novell 文档网站上的 Identity Assurance Solution Client 文档。
目前,只有 Windows XP 和 Windows Server 2003 设备的终端会话上支持使用智能卡来鉴定到 ZENworks。
如果添加用户来源时指定的 eDirectory 纲要已通过 novell-zenworks-configure 工具扩展,则用户使用智能卡登录 eDirectory 时会自动登录 ZENworks。
有关添加用户来源的详细信息,请参见部分 31.2.1, 添加用户来源。
有关扩展 eDirectory 纲要的详细信息,请参见扩展 eDirectory 纲要以启用共享机密鉴定。
如果 eDirectory 纲要未扩展,则不能用作鉴定机制。因此,当受管设备上的用户尝试使用智能卡登录 eDirectory 时,系统会显示 ZENworks 登录对话框。用户指定了 eDirectory 用户名和口令后,该口令会存储在 Novell SecretStore 中。用户下次使用智能卡登录 eDirectory 时,系统会从 SecretStore 中检索口令,用户无需指定口令即可登录 ZENworks。
扩展 eDirectory 纲要以启用共享机密鉴定
要使用共享机密鉴定机制鉴定到 ZENworks,添加用户来源时指定的 eDirectory 纲要必须已经通过 novell-zenworks-configure 工具扩展。
执行以下步骤扩展 eDirectory 纲要:
-
在 ZENworks 服务器上运行 novell-zenworks-configure 实用程序:
在 Windows 上: 在命令提示符处,切换到 ZENworks 安装路径\bin\ 并输入以下命令:
novell-zenworks-configure.bat -c ExtendSchemaForSmartCard
在 Linux 上: 在控制台提示符处,切换到 /opt/novell/zenworks/bin 并输入以下命令:
./novell-zenworks-configure -c ExtendSchemaForSmartCard
-
系统会提示您继续扩展 Novell eDirectory 纲要并将可选 zcmSharedSecret 属性添加到 User 类。默认会选择 1。按 Enter。
-
输入要扩展纲要的 Novell eDirectory 服务器的 DNS 名称或 IP 地址。
-
系统会提示您是选择安全套接层 (SSL) 还是明文通讯方式来与 eDirectory 服务器通讯。要进行 SSL 通讯请输入 1,要进行明文通讯请输入 2,然后按 。
-
输入用于与 eDirectory 服务器通讯的端口。
默认的 SSL 通讯端口为 636,明文通讯端口为 389。
-
输入管理用户的完整判别名 (FDN)。
例如,cn=admin,o=organization
-
输入步骤 6 中指定的管理用户口令。
-
(可选)输入要为其应用 ACL 的 ZENworks 用户来源管理员的完整判别名。
ZENworks 用户来源管理员是在 ZENworks 用户来源配置过程中所配置的要从用户来源中读取用户的用户,不需要是步骤 6 中指定的管理用户。如果指定此用户的完整判别名,则程序会在指定的容器中设置 ACL,以向此用户提供读取 zcmSharedSecret 属性的权限。
-
输入要为其扩展纲要的用户容器。
要指定多个容器,可通过 + 号分隔。例如,o=sales 或 o=sales + o=marketing。
-
按 为上述容器中的所有用户生成随机机密。
-
(视情况而定)如果选择了 SSL 通讯方式来与 eDirectory 服务器通讯,该服务器会提供一个证书。输入 接受证书。
32.2.3 用户名/口令(eDirectory 和 Active Directory)
当使用 Novell eDirectory 或 Microsoft Active Directory 用户来源进行用户名/口令鉴定时,如果用户指定用于登录工作站或域的身份凭证与 ZENworks 登录凭证匹配,则不会显示 ZENworks 登录对话框,并且会向 ZENworks 管理区域鉴定用户。
用户名和口令还会储存在 Secret Store 中。如果用户以后在无用户名或口令可用的情况下登录 ZENworks(例如,用户使用智能卡登录),则会使用储存的身份凭证,且会略过 ZENworks 登录对话框。
添加用户来源时启用用户名/口令鉴定
您可以在添加用户来源时启用用户名/口令鉴定。有关更多信息,请参见部分 31.2.1, 添加用户来源。
对现有的用户来源启用用户名/口令鉴定
您可以对现有的用户来源启用用户名/口令鉴定。
-
在 ZENworks 控制中心中,单击选项卡,再单击用户来源,然后单击位于“一般”部分中旁边的。
-
在“用户来源”面板中,单击位于“一般”部分中旁边的。
-
选中复选框,然后单击。
了解用户名/口令鉴定和 ZENworks 登录对话框的互动方式
下表对使用 Active Directory 进行用户名/口令鉴定的 ZENworks 用户体验作了说明:
表 32-2 使用 Active Directory 的 ZENworks 用户名/口令鉴定
|
Windows 登录与用户来源登录是否匹配? |
ZENworks 是否还使用 Kerberos 鉴定? |
是否属于同一域的成员? |
是否属于不同域的成员? |
Windows 与 ZENworks 身份凭证是否匹配? |
是否可以登录到管理区域? |
是否会显示 ZENworks 登录对话框? |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
是 |
|
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
否 |
|
|
|
|
|
是 |
是 |
|
|
|
|
|
|
是 |
是 |
|
|
|
|
|
|
是 |
是 |
例如,在第一行中,用户的初始登录、用户来源和 ZENworks 登录凭证匹配。结果是用户可以登录 ZENworks 管理区域,并且系统不会显示 ZENworks 登录对话框。
再如,在第二行中,用户初始登录凭证使用的不是相同域的身份凭证,但与 ZENworks 登录凭证匹配。结果是用户可以登录 ZENworks 管理区域,并且系统不会显示 ZENworks 登录对话框。