智能卡认证

此功能为ADManager Plus登录提供额外的认证选项，通过启用智能卡/PKI/证书来授予工具访问权限。智能卡认证进一步增强了安全性，因为访问ADManager Plus时，用户不仅需要持有智能卡，还必须知道个人识别码（PIN）。

当用户尝试访问ADManager Plus的网页界面时，必须在设备上完成智能卡认证（即插入智能卡并输入PIN）后才能继续操作。ADManager Plus的网页界面通过SSL通信技术增强智能卡安全性，因此系统会提示用户指定X.509证书以获取访问权限。

用户可选择从智能卡或本地证书存储库提供证书，此时ADManager Plus将执行证书验证流程。用户亦可选择拒绝提供证书，此时系统将跳转至常规登录页面进行身份验证。

若您的环境已启用智能卡认证系统，可配置ADManager Plus通过该系统验证用户身份，从而绕过其他第一因素认证方式。

智能卡认证配置步骤

1. 点击“委派”选项卡。
2. 配置智能卡认证需启用SSL端口。检查SSL端口设置请点击常规设置下的 "连接"链接。若未启用，请勾选"启用SSL端口[https]"复选框，并在字段中指定端口号，点击"保存更改"。
3. 在登录设置下点击智能卡认证链接。
4. 点击智能卡配置按钮。
5. 若需通过智能卡认证选项卡启用SSL端口，请点击启用SSL端口
6. 在智能卡配置区域下，
   • 在导入CS根证书时，点击"浏览"按钮，从计算机导入所需的证书颁发机构(CA)根证书文件。
   • 访问 http://CertificateAuthorityServerName/certsrv/ 下载CA根证书。
   • 在证书映射属性中，指定用于映射的证书属性。
   • 智能卡证书与ADManager Plus用户数据库间的用户信息需建立映射关系。这意味着智能卡证书中唯一标识用户的属性值，必须与ADManager Plus用户数据库中的对应值完全匹配。该映射需明确指定证书中用于比对的属性，以及ADManager Plus用户存储库中对应的比对属性。
   • ADManager Plus支持灵活指定智能卡证书中任何能唯一标识用户环境的属性。可选属性包括：SAN.OtherName、SAN.RFC822Name、SAN.DirName、SAN.DNSName、SAN.URI、电子邮件、distinguishedName及CommonName。若您的环境使用其他属性进行唯一标识，请联系ADManager Plus支持团队添加该属性。
   • 在AD 中的映射属性中，指定应与指定证书属性匹配的 LDAP 属性。
   • 此处需指定在ADManager Plus用户存储中唯一标识用户的特定LDAP属性，例如sAMAccountName。
   • 认证过程中，ADManager Plus会读取证书映射属性中指定的证书属性值，并与AD映射属性中指定的LDAP属性值进行比对。
   • 在关联域中，从下拉菜单中选择相应的域。
7. 点击保存。
8. 您可通过重复上述步骤添加更多证书。