为智能卡和证书登录配置数据仓库
单独 PDF 文档的收集
Creating your file...
您必须修改OnCommand Insight 数据仓库配置以支持智能卡(CAC)和证书登录。
开始之前
-
必须在系统上启用LDAP。
-
LDAP
User principal account name
属性必须与包含用户的政府ID编号的LDAP字段匹配。政府颁发的CAC上存储的公用名(Common Name、CN)通常采用以下格式:
first.last.ID
。对于某些LDAP字段、例如sAMAccountName
、此格式太长。对于这些字段、OnCommand Insight 仅从CN中提取ID编号。
步骤
-
使用regedit修改中的注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java
-
更改JVM_Option
-DclientAuth=false
to-DclientAuth=true
。
对于Linux、修改
clientAuth
参数/opt/netapp/oci/scripts/wildfly.server
-
-
将证书颁发机构(CA)添加到数据仓库存储库:
-
在命令窗口中、转至
..\SANscreen\wildfly\standalone\configuration
。 -
使用
keytool
用于列出受信任CA的实用程序:C:\Program Files\SANscreen\java64\bin\keytool.exe -list -keystore server.trustore -storepass changeit
每行中的第一个词表示CA别名。
-
如有必要、请提供CA证书文件、通常为
.pem
文件要将客户的CA加入到数据仓库受信任的CA中、请转至..\SANscreen\wildfly\standalone\configuration
并使用keytool
导入命令:C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore server.trustore -alias my_alias -file 'path/to/my.pem' -v -trustcacerts
my_alias通常是一个可轻松在中标识CA的别名
keytool -list
操作。
-
-
在OnCommand Insight 服务器上、
wildfly/standalone/configuration/standalone-full.xml
需要通过在中将verify-client更新为"已请求"来修改文件/subsystem=undertow/server=default-server/https-listener=default-https
以启用CAC。登录到Insight服务器并运行相应的命令:os
脚本
Windows
<install dir> \SANscreen\wildfly\bin\enableCACforRemoteEJB.bat
Linux
/opt/netapp/oci/wildfly/bin/enableCACforRemoteEJB.sh
执行此脚本后、请等待此wildfly服务器的重新加载完成、然后再继续执行下一步。
-
重新启动OnCommand Insight 服务器。