32.2 驗證機制

向 ZENworks 管理區域驗證受管理設備時可以使用以下機制:

32.2.1 Kerberos (僅限 Active Directory)

Kerberos* 是 MIT 所開發的一種驗證通訊協定,它要求需透過非安全網路進行通訊的實體 (如使用者和網路服務) 向彼此證明各自的身分,以便進行安全驗證。

Windows Active Directory 環境本身便包含 Kerberos 功能。

Kerberos 需要使用金鑰配送中心 (KDC) 以做為這些實體間信任的協力廠商。所有 Kerberos 伺服器都需要有金鑰表檔案才能向金鑰配送中心 (KDC) 進行驗證。金鑰表檔案是主機金鑰在本地磁碟上的一個加密副本。

使用 Kerberos 驗證時,Active Directory 伺服器會產生 Kerberos 票證,再由 Novell 通用驗證服務轉換器 (CASA) 用此票證替代使用者名稱和密碼來驗證使用者。

在 ZENworks 環境中設定 Kerberos

  1. 設定 Kerberos 服務主體帳戶,並產生該帳戶的金鑰表檔案。

    如需詳細資訊,請參閱 Microsoft TechNet 網站

    例如,如果在網域中建立了名為 atsserver 的使用者,可以在指令提示符中執行以下指令:

    ktpass /princ host/atsserver.users.我的伺服器.com@我的伺服器.COM -pass atsserver_密碼 -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL

    此指令會建立一個金鑰表檔案,並將使用者 atsserver 修改為 Kerberos 主體。

  2. 將金鑰表檔案輸入到 ZENworks 控制中心。

    1. 在 ZENworks 控制中心中,依次按一下「組態」索引標籤、「基礎架構管理」「使用者來源設定」

    2. 按一下 以瀏覽至金鑰表檔案並加以選取。

    3. 按一下「確定」以輸入檔案。

新增使用者來源時啟用 Kerberos 驗證

您可以在新增使用者來源時啟用 Kerberos 驗證。如需詳細資訊,請參閱 節 31.2.1, 新增使用者來源

對現有使用者來源啟用 Kerberos 驗證

您可以對現有的使用者來源啟用 Kerberos 驗證。

  1. 在「ZENworks 控制中心」中,按一下「組態」索引標籤。

  2. 在「使用者來源」面板中,按一下使用者來源,然後按一下「一般」區段中「驗證機制」旁的「編輯」

  3. 選中「Kerberos」核取方塊,然後按一下「確定」

瞭解 Kerberos 驗證與 ZENworks 登入對話方塊的互動方式

下表說明了 ZENworks 使用者將 Kerberos 驗證與 Active Directory 搭配使用的情況:

表 32-1 ZENworks Kerberos 驗證與 Active Directory

Windows 登入符合使用者來源登入?

ZENworks 也使用使用者名稱/密碼驗證?

是相同網域的成員?

是不同網域的成員?

Windows 與 ZENworks 的身分證明相符?

可以登入管理區域?

顯示 ZENworks 登入對話方塊?

 

未經

 

 

未經

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

未經

 

 

未經

 

 

 

 

例如,在第二列中,使用者的首次登入、使用者來源與 ZENworks 登入的身分證明都相符。因此,使用者可以登入 ZENworks 管理區域,而且不會顯示「ZENworks 登入」對話方塊。

再如,在第三列中,使用者的首次登入使用的是其他網域的身分證明,並且與 ZENworks 登入的身分證明不同。因此,使用者可以登入 ZENworks 管理區域,但會顯示「ZENworks 登入」對話方塊。

32.2.2 共享密碼

使用「共享密碼」驗證時,必須安裝並設定 Novell Identity Assurance Solution Client。如需詳細資訊以及受支援的智慧卡讀取器和智慧卡清單,請參閱 Novell 文件網站上的「Identity Assurance Solution Client」文件。

目前僅有 Windows XP 以及 Windows Server 2003 設備的終端機工作階段允許使用智慧卡對登入 ZENworks 進行驗證。

使用者使用智慧卡登入 eDirectory 時,如果新增使用者來源時所指定的 eDirectory 綱要已使用 novell-zenworks-configure 工具進行延伸,則使用者會自動登入 ZENworks。

如需新增使用者來源的詳細資訊,請參閱節 31.2.1, 新增使用者來源

如需延伸 eDirectory 綱要的詳細資訊,請參閱延伸 eDirectory 綱要以啟用共享密碼驗證

如果 eDirectory 綱要未得到延伸,則無法使用「共享密碼」做為驗證機制。因此,當受管理設備上的使用者嘗試使用智慧卡登入 eDirectory 時,會顯示「ZENworks 登入」對話方塊。使用者指定 eDirectory 使用者名稱和密碼後,密碼就會存入 Novell SecretStore。使用者下次使用智慧卡登入 eDirectory 時,系統會從 SecretStore 擷取密碼,讓使用者無需指定密碼即可登入 ZENworks。

延伸 eDirectory 綱要以啟用共享密碼驗證

若要使用「共享密碼」驗證機制對登入 ZENworks 進行驗證,則新增使用者來源時所指定的 eDirectory 綱要必須已使用 novell-zenworks-configure 工具進行延伸。

執行下列步驟以延伸 eDirectory 綱要:

  1. 在 ZENworks 伺服器上執行 novell-zenworks-configure 公用程式:

    在 Windows 上: 在指令提示符中,變更 ZENworks 安裝路徑\bin,並輸入以下指令︰

    novell-zenworks-configure.bat -c ExtendSchemaForSmartCard

    在 Linux 上︰ 在主控台提示符中,變更至 /opt/novell/zenworks/bin 並輸入以下指令︰

    ./novell-zenworks-configure -c ExtendSchemaForSmartCard

  2. 系統會提示您繼續執行動作以延伸 Novell eDirectory 綱要,並為使用者類別新增選用屬性 zcmSharedSecret。預設會選取 1。按 Enter。

  3. 輸入 Novell eDirectory 伺服器的 DNS 名稱或 IP 位址以延伸綱要。

  4. 系統會提示您選取安全通訊端層 (SSL) 通訊或純文字通訊,以與 eDirectory 伺服器進行通訊。為 SSL 通訊輸入 1,或為純文字通訊輸入 2,然後再次按 Enter

  5. 輸入與 eDirectory 伺服器通訊所使用的連接埠。

    SSL 通訊與純文字通訊的預設連接埠分別為 636 和 389。

  6. 輸入管理使用者的完全辨識名稱 (FDN)。

    例如,cn=admin,o=organization

  7. 輸入步驟 6 中指定之管理使用者的密碼。

  8. (選擇性) 輸入要套用 ACL 之 ZENworks 使用者來源管理員的完全辨識名稱。

    ZENworks 使用者來源管理員設定為 ZENworks 使用者來源組態中的使用者,用於讀取使用者來源的使用者,該管理員不一定要是步驟 6 中指定的管理使用者。如果指定此使用者的完全辨識名稱,程式會對指定的容器設定 ACL,以便為此使用者提供讀取 zcmSharedSecret 屬性的權限。

  9. 輸入要延伸綱要的使用者容器。

    多個容器之間可以 + 號分隔。例如,o=sales 或 o=sales + o=marketing。

  10. Enter 鍵為以上容器內的所有使用者產生隨機密碼。

  11. (視情況而定) 如果為與 eDirectory 伺服器之間的通訊選擇了 SSL 通訊,則該伺服器會提供一份證書。輸入 y 以接受該證書。

32.2.3 使用者名稱/密碼 (eDirectory 與 Active Directory)

如果 Novell eDirectory 或 Microsoft Active Directory 使用者來源使用使用者名稱/密碼驗證,則當使用者指定用於登入工作站或網域的身分證明與 ZENworks 登入的身分證明相符時,便不會顯示「ZENworks 登入」對話方塊,且系統會向 ZENworks 管理區域驗證使用者。

使用者名稱與密碼也將儲存在 Secret Store 中。如此一來,當使用者日後不使用使用者名稱或密碼登入 ZENworks 時 (例如,使用智慧卡登入),便會使用儲存的身分證明,並略過「ZENworks 登入」對話方塊。

新增使用者來源時啟用使用者名稱/密碼驗證

您可以在新增使用者來源時啟用使用者名稱/密碼驗證。如需詳細資訊,請參閱 節 31.2.1, 新增使用者來源

對現有使用者來源啟用使用者名稱/密碼驗證

您可以對現有的使用者來源啟用使用者名稱/密碼驗證。

  1. 在「ZENworks 控制中心」中,按一下「組態」索引標籤,然後按一下使用者來源,再按一下「一般」區段中「驗證機制」旁的「編輯」

  2. 在「使用者來源」面板中,按一下使用者來源,然後按一下「一般」區段中「驗證機制」旁的「編輯」

  3. 選中「使用者名稱/密碼」核取方塊,然後按一下「確定」

瞭解使用者名稱/密碼驗證與 ZENworks 登入對話方塊的互動方式

下表說明了 ZENworks 使用者將使用者名稱/密碼與 Active Directory 搭配使用的情況:

表 32-2 ZENworks 使用者名稱/密碼驗證與 Active Directory

Windows 登入符合使用者來源登入?

ZENworks 還使用 Kerberos 驗證?

是相同網域的成員?

是不同網域的成員?

Windows 與 ZENworks 的身分證明相符?

可以登入管理區域?

顯示 ZENworks 登入對話方塊?

 

 

未經

 

 

未經

 

 

 

 

 

 

未經

 

 

 

未經

 

 

 

 

未經

 

 

 

 

 

 

 

 

 

 

 

例如,在第一列中,使用者的首次登入、使用者來源與 ZENworks 登入的身分證明都相符。因此,使用者可以登入 ZENworks 管理區域,而且不會顯示「ZENworks 登入」對話方塊。

再如,在第二列中,使用者的首次登入使用的是其他網域的身分證明,但與 ZENworks 登入身分證明相符。因此,使用者可以登入 ZENworks 管理區域,而且不會顯示「ZENworks 登入」對話方塊。