配置 Control Room,使用智能卡选项对用户进行身份验证。

先决条件

要执行此任务,您必须拥有具有所需权限和许可的 Control Room 管理员账户。

要配置您的 Cloud Control Room 以使用智能卡和 X.509 证书进行身份验证,请按照以下步骤操作。

过程

  1. 将辅助主机名配置为指向 Control Room 负载均衡器。
    此流程定义了在将 Control Room 配置为智能卡认证时用于认证请求的辅助主机名。 辅助主机名会在 Control Room 负载均衡器中自动配置。 主要和次要主机名都必须在 Control Room 环境使用的DNS系统中进行配置(为主要和次要主机名添加DNS条目 - 在 Control Room 之外)。
  2. 如何获取包含受信任 CA 证书的 Java KeyStore。
    配置位置,在该位置 Control Room 将检查用于对用户登录的用户证书进行身份验证的证书颁发机构 (CA) 证书。
    注: 此位置的证书是将颁发用户证书的 CA 的服务器证书。
    选项操作
    定期扫描以下位置

    此设置允许管理员定义包含 CA 证书的密钥库文件的路径。 如果您定期更新 CA 信任库以及设定扫描的频率,请使用此设置。
    手动上传密钥库

    此设置允许管理员加载包含 CA 证书的密钥库文件。 如果您的 CA 是已知且静态的,并指明密钥库是否受密码保护,请使用此设置。 如果密钥库受密码保护,请提供并确认密码。
  3. 选择吊销检查方法。
    吊销检查将配置 Control Room 以拒绝已被吊销的证书的身份验证请求。
    选项操作
    在线证书状态协议 (OSCP) 如果您的 CA 已实施 OSCP,请使用此设置。
    证书吊销列表 如果您维护一份已吊销证书的静态列表,请使用此设置。
    不进行吊销检查 使用此设置,Control Room 将不会执行吊销检查。
    注: 不建议在通常会使用吊销的实际正式部署中使用此方法。
  4. 如果所选方法失败,请使用其他方法。
    如果配置的方法失败,此设置将尝试使用未选择的吊销检查方法。
  5. 允许用户即使无法确定吊销状态,也能进行身份验证
    使用此设置以确保用户在任一吊销检查方法失败时仍能进行身份验证。
  6. 配置用户名映射。
    用户名映射指定用户证书的哪个属性用于 Control Room 用户名。 在用户登录 Control Room 之前,必须在 Control Room 中配置用户名,并且必须与从证书中获取的用户名匹配。
    1. 获取用户名自
      证书主题
      如果 Control Room 用户名与用户证书的主题字段中的字符串相同,请使用此设置。
      通用主体名称
      如果 Control Room 用户名与用户证书的通用主体名称字段中的字符串相同,请使用此设置。
    2. 使用正则表达式
      输入正则表达式,以从用户证书的选定字段中过滤 Control Room 用户名。 如果 Control Room 用户名与所选证书字段中的数据相同,则可能不需要这样做。
  7. 配置名字映射。
    名字映射指定用户证书的哪个属性用于 Control Room 用户名。 在用户登录 Control Room 之前,必须在 Control Room 中配置名字,并且必须与从证书中提取的用户名字匹配。
    1. 获取名字自
      证书主题
      如果 Control Room 的名字与用户证书主题字段中的字符串相同,请使用此设置。
      通用主体名称
      如果 Control Room 用户名与用户证书的通用主体名称字段中的字符串相同,请使用此设置。
    2. 使用正则表达式
      输入正则表达式,以从用户证书的选定字段中过滤出 Control Room 用户的名字。 如果 Control Room 用户的名字与所选证书字段中的数据相同,则可能不需要这样做。
  8. 配置姓氏映射。
    姓氏映射指定用户证书的哪个属性用于 Control Room 用户名。 在用户登录 Control Room 之前,必须在 Control Room 中配置姓氏,并且必须与从证书中提取的用户姓氏匹配。
    1. 获取姓氏
      证书主题
      如果 Control Room 的姓氏与用户证书主题字段中的字符串相同,请使用此设置。
      通用主体名称
      如果 Control Room 用户名与用户证书的通用主体名称字段中的字符串相同,请使用此设置。
    2. 使用正则表达式
      请输入正则表达式,以从用户证书的选定字段中过滤 Control Room 用户的姓氏。 如果 Control Room 用户的姓氏与所选证书字段中的数据相同,则可能不需要这样做。
  9. 配置电子邮件地址映射。
    电子邮件地址映射指定用户证书的哪个属性用于 Control Room 用户名。 在用户登录 Control Room 之前,必须在 Control Room 中配置电子邮件地址,并且必须与从证书中提取的用户姓氏匹配。
    1. 获取姓氏
      证书主题
      如果 Control Room 电子邮件地址与用户证书主题字段中的字符串相同,请使用此设置。
      通用主体名称
      如果 Control Room 用户名与用户证书的通用主体名称字段中的字符串相同,请使用此设置。
    2. 使用正则表达式
      输入正则表达式,以从用户证书的选定字段中过滤 Control Room 用户的电子邮件地址。 如果 Control Room 用户的电子邮件地址与所选证书字段中的数据相同,则可能不需要这样做。
  10. 单击下一步