为智能卡和证书登录配置数据仓库
建议更改
PDF
您必须修改OnCommand Insight 数据仓库配置以支持智能卡(CAC)和证书登录。
开始之前
-
必须在系统上启用LDAP。
-
LDAP
User principal account name属性必须与包含用户的政府ID编号的LDAP字段匹配。政府颁发的CAC上存储的公用名(Common Name、CN)通常采用以下格式:
first.last.ID。对于某些LDAP字段、例如sAMAccountName、此格式太长。对于这些字段、OnCommand Insight 仅从CN中提取ID编号。
|
如果已使用更改了_server.keystore_和/或_server.trustore_pands密码"安全管理员",请在导入SANscreen证书之前重新启动_ldap_服务。 |
步骤
-
使用regedit修改中的注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java-
更改JVM_Option
-DclientAuth=falseto-DclientAuth=true。
对于Linux、修改
clientAuth参数/opt/netapp/oci/scripts/wildfly.server -
-
将证书颁发机构(CA)添加到数据仓库存储库:
-
在命令窗口中、转至
..\SANscreen\wildfly\standalone\configuration。 -
使用
keytool`实用程序列出受信任的CA: `C:\Program Files\SANscreen\java64\bin\keytool.exe -list -keystore server.trustore -storepass <password>+有关设置或更改服务器密码的详细信息、请参见"安全管理员"文档。每行中的第一个词表示CA别名。
-
如有必要、请提供CA证书文件、通常为
.pem文件要将客户的CA加入到数据仓库受信任的CA中、请转至..\SANscreen\wildfly\standalone\configuration并使用keytool导入命令:C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore server.trustore -alias my_alias -file 'path/to/my.pem' -v -trustcacertsmy_alias通常是一个可轻松在中标识CA的别名
keytool -list操作。
-
-
在OnCommand Insight 服务器上、
wildfly/standalone/configuration/standalone-full.xml需要通过在中将verify-client更新为"已请求"来修改文件/subsystem=undertow/server=default-server/https-listener=default-https以启用CAC。登录到Insight服务器并运行相应的命令:os
脚本
Windows
<install dir> \SANscreen\wildfly\bin\enableCACforRemoteEJB.bat
Linux
/opt/netapp/oci/wildfly/bin/enableCACforRemoteEJB.sh
执行此脚本后、请等待此wildfly服务器的重新加载完成、然后再继续执行下一步。
-
重新启动OnCommand Insight 服务器。