智能卡身份验证
ManageEngine ADSelfService Plus支持智能卡身份验证,这是其Web门户登录的多重身份验证因素之一。ADSelfService Plus将用户计算机上的证书文件与Active Directory(AD)中的证书文件进行比较后,对用户进行身份验证。
前提条件
- 点击点击 → 产品设 → 连接。选择HTTPS模式,输入端口号。点击保存。
- 从证书机构(CA)获取CA根证书。 请确保此证书安全,因为您在配置智能卡身份验证程序时将需要此文件。如果您使用Windows服务器作为CA,请从下载证书文件: http://<CertificateAuthorityServerName>/certsrv/。
注意: 将URL中的<CertificateAuthorityServerName>替换为您的证书服务器的名称。
重要的:
- 智能卡身份验证只能用于ADSelfService Plus Web门户登录。
- 启用智能卡身份验证后,无法启用负载平衡。
- 启用反向代理时,智能卡身份验证将不起作用。
- 智能卡身份验证不支持信任此浏览器选项。
配置步骤:
- 使用管理员凭据登录ADSelfService Plus Web门户。
- 点击配置 → 多重身份验证 → 智能卡身份验证。
- 在导入CA根证书字段中,点击浏览以导入所需的根证书文件(X.509证书)。(要获取CA根证书,请参阅上面前提条件部分中的步骤2。)
- 从证书中的映射属性下拉列表中选择要映射的证书中的唯一属性。
- 确保证书中的唯一属性映射到AD中的唯一属性。这两个属性必须具有相同的值。
- ADSelfService Plus允许您选择唯一标识用户的智能卡证书的任何属性。可用的属性包括SAN.OtherName、SAN.RFC822Name、SAN.DirName、SAN.DNSName、SAN.URI、emailAddress、DN和CommonName。您还可以通过在提供的文本框中输入属性名称并单击+图标,添加用于在您的环境中唯一标识用户的其他属性。
- 指定应与AD中的映射属性下拉列表中指定的证书属性匹配的LDAP属性。您需要指定在AD中唯一标识用户的特定LDAP属性(例如,sAMAccountName)。
- 在身份验证期间,ADSelfService Plus会将此值与您在证书的映射属性中指定的证书属性进行比较,以验证用户的身份。
- 点击保存。
- 重启ADSelfService Plus以使配置生效。
