設定資料倉儲以進行智慧卡和憑證登入
建議變更
PDF
您必須修改OnCommand Insight 「支援智慧卡(CAC)」和「憑證登入」的「支援資料倉儲」組態。
開始之前
-
必須在系統上啟用LDAP。
-
LDAP
User principal account name屬性必須符合包含使用者政府ID號碼的LDAP欄位。儲存在政府核發之CAC上的一般名稱(CN)通常採用下列格式:
first.last.ID。對於某些LDAP欄位、例如sAMAccountName、格式太長。對於這些欄位OnCommand Insight 、只會從CNS擷取ID號碼。
|
如果使用更改了 server.keystore 和 / 或 _server.trustore 密碼"安全性管理",請 SANscreen 在導入 LDAP 證書之前重新啓動 _LDAP 服務。 |
|
|
如需最新的CAC和憑證指示、請參閱下列知識庫文章(需要支援登入): |
步驟
-
使用RegEdit修改中的登錄值
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java-
變更JVM_Option
-DclientAuth=false至-DclientAuth=true。
若為Linux、請修改
clientAuth參數輸入/opt/netapp/oci/scripts/wildfly.server -
-
將憑證授權單位(CA)新增至資料倉儲信任庫:
-
在命令視窗中、前往
..\SANscreen\wildfly\standalone\configuration。 -
使用
keytool`公用程式列出信任的 CA : `C:\Program Files\SANscreen\java64\bin\keytool.exe -list -keystore server.trustore -storepass <password>+ 如需設定或變更 server_trustore 密碼的詳細資訊、請參閱"安全性管理"文件。每行的第一個字表示CA別名。
-
如有必要、請提供CA憑證檔案、通常是
.pem檔案:若要將客戶的CA納入資料倉儲信任的CA、請前往..\SANscreen\wildfly\standalone\configuration並使用keytool匯入命令:C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore server.trustore -alias my_alias -file 'path/to/my.pem' -v -trustcacertsmy_alias通常是容易識別中CA的別名
keytool -list營運。
-
-
在伺服器上OnCommand Insight
wildfly/standalone/configuration/standalone-full.xml檔案必須透過將驗證用戶端更新為中的「要求的」來修改/subsystem=undertow/server=default-server/https-listener=default-https以啟用CAC。登入Insight伺服器並執行適當的命令:作業系統
指令碼
Windows
wildfly \bin\enableCACforRemoteEJB.bat <install dir>
Linux
/opp/NetApp/OCI /萬用里/賓/ enableCACforRemoteEJB.sh
執行指令碼之後、請等到重新載入wildfly伺服器完成之後、再繼續下一步。
-
重新啟動OnCommand Insight 伺服器。