添加外部验证器 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

Address Manager 具有一个功能齐全的验证子系统,它支持通过 Kerberos、LDAP、Microsoft 活动目录或 RADIUS 进行混合模式验证。对 RSA SecurID 的支持是借助 RADIUS 身份验证模块完成的。

Address Manager 与远程系统交换验证信息之前,必须定义验证器并将其与 Address Manager 用户关联。有关如何为用户分配验证器的描述,请参阅用户组

验证器是一种系统对象,表示与外部验证系统的连接。该系统的本机安全措施适用于本机与 Address Manager 之间的通信。Address Manager 充当验证系统的代理客户端,验证 Address Manager 用户的身份,而无需管理或验证用户的密码或凭据。在外部验证器验证用户后,Address Manager 认为用户有效,直到会话关闭或超时。
注: 外部认证不能替代 Address Manager 用户管理。验证器只是将验证凭据的责任转移到另一个系统。

可以向用户添加多个验证器,以便在主验证器不可用时可以使用备用验证器。可以测试验证器以确认 Address Manager 可以与外部服务进行通信。

验证器页面允许将外部验证器添加到 Address Manager 系统。根据选择的身份验证器的类型,“添加验证器”页面会显示不同的文本字段。

注: FQDN 指向可解析的 AAAA 资源记录且身份验证系统完全支持 IPv6 的 IPv6 身份验证应按设计运行。必须对这些 IPv6 身份验证解决方案进行所有测试和验证,目前不支持此功能。目前 IP 地址配置选项不支持 IPv6 地址,并且必须使用 IPv4 地址。

要添加外部验证器:

  1. 选择管理选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在管理页面上。
  2. 用户管理下,单击验证器
  3. 验证器下,单击新建
  4. 验证器下,选择验证器的类型并为其指定名称:
    • 类型 — 选择KerberosLDAPRadiusTACACS+
      注:
      • 为 Microsoft 活动目录创建验证器时,请选择 LDAP 或 Kerberos。如果要使用 LDAP 用户组,则应选择 LDAP,否则,请选择 Kerberos。有关 LDAP 用户组的更多信息,请参阅添加 LDAP 用户组
      • 如果创建 RSA SecurID 验证器,请选择 Radius
    • 名称 — 输入验证器名称。
    • 主机 — 输入验证器的完全限定域名或 IP 地址。
      注意: 主机字段不能包含下划线 ( _ ) 字符。如果主机的 FQDN 包含下划线字符,则必须输入主机的 IP 地址或修改 FQDN 使其不包含下划线字符,并输入更新后不含下划线字符的 FQDN。
    • 主机 (KDC) — 当选择 Kerberos 作为验证器类型时出现。输入验证器的完全限定域名 (FQDN) 或 IP 地址。
      注: 可以在“主机”字段中输入 FQDN 或 IP 地址。在“范围”字段中输入的信息必须是大写字母。确保 Kerberos 服务器和 Address Manager 上的时间同步差额仅在一分钟之内。
  5. 附加属性下,设置验证器属性。本节中提供的字段将根据选择的验证器类型而有所不同。
  6. 备用验证器下,设置备用验证器选项:

    — 选择是否不需要备用验证器。

    指定的验证器 — 从列表中选择验证器以将其指定为备用验证器。如果主验证器无法完成验证,则将使用备用验证器。从列表中选择 BlueCat Address Manager 验证器,以将 Address Manager 用作备用验证器。

  7. 切换控制下,根据需要添加注释。
  8. 单击添加