智能卡验证

(此功能只在企业版中可用)

概述

由于Password Manager Pro会管理许多敏感密码，这就需要强壮的身份验证机制。PMP为您提供了多种验证方式，用户可以根据实际环境选择最佳验证方式。除了PMP本地验证之外，还有AD验证、LDAP验证。

为了更加安全，PMP为您提供了智能卡验证，一种更强壮的验证方式。用户必须使用智能卡并且要知道个人识别码（PIN）。

智能卡验证是重要的双重身份验证手段。

如果您的环境中有智能卡验证系统，就可以将它集成到PMP当中。绕过其它第一层验证，如AD，LDAP或本地验证。

PMP中的智能卡验证是如何工作的？

当您访问PMPweb界面时，必须先要完成智能卡验证。在PMP中使用智能卡验证必须在SSL下进行。所以，会提示您提供X.509证书。

用户可以选择提供智能卡提供证书，也可以选择本地存储的证书。PMP通过证书对用户进行身份验证。

也可以不提供证书，PMP会将您带到常规登录页面进行验证。

智能卡身份验证工作流

用户连接到PMP服务器
PMP服务器将证书发送到客户端（web界面）
客户端通过验证证书颁发机构来验证服务器的证书
如果以上步骤执行成功，客户端会将用户的智能卡证书发送给服务器
服务器将客户端的证书与服务器的信任库进行核对，然后检查OCSP服务器证书的的吊销状态（如果可用）；最后，检查用户的证书是否与AD/LDAP或PMP用户存储库中的证书相同。
如果以上步骤也执行成功了，PMP服务器就会赋予用户访问PMP web界面的权限。

开启智能卡验证

步骤摘要

如果是内部证书（企业自己的证书），请导入根CA。这是证书颁发机构颁布给PMP用户的X.509用户证书。如果您正使用第三方CA签名的证书，可以跳过这一步。
在智能卡证书和PMP用户库之间映射用户明细
配置用户证书的状态检查
检查用于身份验证的用户证书
在PMP中开启智能卡验证
重启PMP服务器和web浏览器

第一步 - 导入根CA

如果您正在使用内部证书（企业自己的证书），您需要提供根CA。如果您正在使用第三方CA签名的证书，请跳过这一步。

导入根CA，

点击管理>>智能卡/PKI/证书
选择证书，并点击“立即导入”。
指定根CA的路径
重启PMP服务器

完成以上步骤之后，根CA将被记录在PMP。所有该CA签名的证书都将被自动显示。

第二步 - 在智能卡证书和PMP用户库之间映射用户明细

下一步是在智能卡证书和PMP用户数据库之间选择映射。即，智能卡证书中用于唯一标识用户的属性应该可以匹配到PMP用户数据库中相应的值。

映射会涉及两件事：

指出证书中的哪些属性应该被比较
在PMP用户数据库中指定相应的匹配属性

指定证书属性

PMP可以让您灵活的指定智能卡证书的任意属性，用于唯一识别用户。可选属性有SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI和Common Name。在验证过程中PMP会读取属性的值并与PMP用户库进行比较。
从"证书属性"列表中选择所需的属性。

提示：如果需要其他属性来唯一标识用户，请联系PMP支持团队添加该属性。

指定需要进行匹配的PMP用户名

在指定了证书属性之后，您还需要指定PMP用户库中的映射属性。即，您需要指定PMP用户库中的用户属性，用于唯一标识用户。针对添加用户的不同方式，手动将用户添加到PMP，还是从活动目录或LDAP导入PMP。如下操作：

手动添加的用户

对于手动添加到PMP的用户，请在相应字段中保留默认值"username"。

从活动目录或LDAP导入的用户

如果用户是从活动目录或LDAP导入的，通常会使用'userPrincipalName'属性来唯一标识用户。有些环境也会使用'distinguishedName'属性或其他属性，这需要根据你的环境来选择。

最后，保存设置。

第三步 - 配置用户证书状态检查

在验证过程中，PMP会通过一个在线证书状态协议（OCSP）服务器检查证书吊销状态，如果有些证书没有OCSP信息，那么这里设置的信息将会被使用。该检查也可以被禁用，只需将conf目录中找到'System Properties'文件，并将ocsp.check改为false。

通过OCSP进行验证也需要访问互联网。在企业网络设置中，您需要通过代理服务器访问互联网。如果还没有配置登录服务器，请进行配置。

点击“立即配置”，并输入OCSP服务器明细，如OCSP服务器名称，端口。如果需要的话，还需进行代理服务器配置。

第四步 - 通过比较用户证书验证身份

身份验证的另一步，是将用户的证书与系统中存储的或者活动目录、LDAP中的证书进行比较。对于手动添加的用户，PMP数据库中的X.509证书将会与用户提供的证书进行比较。

重要提示：

如果，您的环境中没有活动目录或LDAP，那么您需要手动将x.509格式的SSL证书导入到PMP，用于智能卡验证。

点击管理 >> 全局 >> 更改登录密码。
选择浏览并选择x.509格式的SSL证书

第五步 - 开启智能卡验证

执行了以上设置后，您需要开启智能卡验证。在此之前，您需要把全部活动目录、LDAP验证禁用。

点击“启用”，开启智能卡验证。

第六步 - 重启PMP服务器和web浏览器

完成上述步骤之后，重启PMP服务器和web浏览器，使设置生效。一旦在PMP中启用或禁用了智能卡验证，您就需要重启PMP服务器或浏览器使变更生效。

重要提示：

一旦您开启了智能卡验证，将会全局生效 - 就是说，智能卡验证将会应用到所有用户。不过，对没有开启智能卡验证的用户并不适用，他们仍然可以通过本地验证进行登录。开启了智能卡验证的用户将会进入智能卡验证界面。
开启智能卡验证之后，活动目录或LDAP验证将会对所有用户暂停使用。所以，您需要从活动目录、LDAP验证或智能卡验证中做出选择。

PMP中的智能卡验证 - 工作流

用户访问PMP web界面
智能卡中唯一识别用户的属性与PMP用户库中的相应属性进行比较。
对于手动添加的用户，PMP数据库中的X.509证书将会与用户提供的证书进行比较。如果用户是从活动目录或LDAP中导入的，将会从活动目录或LDAP中获取并比较。
如果匹配成功，用户就被允许访问。

高可用性中的智能卡验证

如果您配置了高可用性，并且在主服务器开启了智能卡验证，那么，也要在辅助服务器进行相同配置。

操作步骤如下所示,

停止PMP主服务器
连接到PMP辅助服务器
点击管理 >> 用户 >> 智能卡验证
在打开的界面，执行第一步至第五步（详细信息可以参照“开启智能卡验证”。)
完成以上步骤后，重启辅助服务器

故障排除技巧

如果在验证期间没有弹出提示让您选择客户端证书，请重启浏览器之后再试。


智能卡验证 (此功能只在企业版中可用) 概述由于Password Manager Pro会管理许多敏感密码，这就需要强壮的身份验证机制。PMP为您提供了多种验证方式，用户可以根据实际环境选择最佳验证方式。除了PMP本地验证之外，还有AD验证、LDAP验证。为了更加安全，PMP为您提供了智能卡验证，一种更强壮的验证方式。用户必须使用智能卡并且要知道个人识别码（PIN）。智能卡验证是重要的双重身份验证手段。如果您的环境中有智能卡验证系统，就可以将它集成到PMP当中。绕过其它第一层验证，如AD，LDAP或本地验证。 PMP中的智能卡验证是如何工作的？当您访问PMPweb界面时，必须先要完成智能卡验证。在PMP中使用智能卡验证必须在SSL下进行。所以，会提示您提供X.509证书。用户可以选择提供智能卡提供证书，也可以选择本地存储的证书。PMP通过证书对用户进行身份验证。也可以不提供证书，PMP会将您带到常规登录页面进行验证。智能卡身份验证工作流用户连接到PMP服务器 PMP服务器将证书发送到客户端（web界面）客户端通过验证证书颁发机构来验证服务器的证书如果以上步骤执行成功，客户端会将用户的智能卡证书发送给服务器服务器将客户端的证书与服务器的信任库进行核对，然后检查OCSP服务器证书的的吊销状态（如果可用）；最后，检查用户的证书是否与AD/LDAP或PMP用户存储库中的证书相同。如果以上步骤也执行成功了，PMP服务器就会赋予用户访问PMP web界面的权限。开启智能卡验证步骤摘要如果是内部证书（企业自己的证书），请导入根CA。这是证书颁发机构颁布给PMP用户的X.509用户证书。如果您正使用第三方CA签名的证书，可以跳过这一步。在智能卡证书和PMP用户库之间映射用户明细配置用户证书的状态检查检查用于身份验证的用户证书在PMP中开启智能卡验证重启PMP服务器和web浏览器第一步 - 导入根CA 如果您正在使用内部证书（企业自己的证书），您需要提供根CA。如果您正在使用第三方CA签名的证书，请跳过这一步。导入根CA，点击管理>>智能卡/PKI/证书选择证书，并点击“立即导入”。指定根CA的路径重启PMP服务器完成以上步骤之后，根CA将被记录在PMP。所有该CA签名的证书都将被自动显示。第二步 - 在智能卡证书和PMP用户库之间映射用户明细下一步是在智能卡证书和PMP用户数据库之间选择映射。即，智能卡证书中用于唯一标识用户的属性应该可以匹配到PMP用户数据库中相应的值。映射会涉及两件事：指出证书中的哪些属性应该被比较在PMP用户数据库中指定相应的匹配属性指定证书属性 PMP可以让您灵活的指定智能卡证书的任意属性，用于唯一识别用户。可选属性有SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI和Common Name。在验证过程中PMP会读取属性的值并与PMP用户库进行比较。从"证书属性"列表中选择所需的属性。提示：如果需要其他属性来唯一标识用户，请联系PMP支持团队添加该属性。指定需要进行匹配的PMP用户名在指定了证书属性之后，您还需要指定PMP用户库中的映射属性。即，您需要指定PMP用户库中的用户属性，用于唯一标识用户。针对添加用户的不同方式，手动将用户添加到PMP，还是从活动目录或LDAP导入PMP。如下操作：手动添加的用户对于手动添加到PMP的用户，请在相应字段中保留默认值"username"。从活动目录或LDAP导入的用户如果用户是从活动目录或LDAP导入的，通常会使用'userPrincipalName'属性来唯一标识用户。有些环境也会使用'distinguishedName'属性或其他属性，这需要根据你的环境来选择。最后，保存设置。第三步 - 配置用户证书状态检查在验证过程中，PMP会通过一个在线证书状态协议（OCSP）服务器检查证书吊销状态，如果有些证书没有OCSP信息，那么这里设置的信息将会被使用。该检查也可以被禁用，只需将conf目录中找到'System Properties'文件，并将ocsp.check改为false。通过OCSP进行验证也需要访问互联网。在企业网络设置中，您需要通过代理服务器访问互联网。如果还没有配置登录服务器，请进行配置。点击“立即配置”，并输入OCSP服务器明细，如OCSP服务器名称，端口。如果需要的话，还需进行代理服务器配置。第四步 - 通过比较用户证书验证身份身份验证的另一步，是将用户的证书与系统中存储的或者活动目录、LDAP中的证书进行比较。对于手动添加的用户，PMP数据库中的X.509证书将会与用户提供的证书进行比较。重要提示：如果，您的环境中没有活动目录或LDAP，那么您需要手动将x.509格式的SSL证书导入到PMP，用于智能卡验证。点击管理 >> 全局 >> 更改登录密码。选择浏览并选择x.509格式的SSL证书第五步 - 开启智能卡验证执行了以上设置后，您需要开启智能卡验证。在此之前，您需要把全部活动目录、LDAP验证禁用。点击“启用”，开启智能卡验证。第六步 - 重启PMP服务器和web浏览器完成上述步骤之后，重启PMP服务器和web浏览器，使设置生效。一旦在PMP中启用或禁用了智能卡验证，您就需要重启PMP服务器或浏览器使变更生效。重要提示：一旦您开启了智能卡验证，将会全局生效 - 就是说，智能卡验证将会应用到所有用户。不过，对没有开启智能卡验证的用户并不适用，他们仍然可以通过本地验证进行登录。开启了智能卡验证的用户将会进入智能卡验证界面。开启智能卡验证之后，活动目录或LDAP验证将会对所有用户暂停使用。所以，您需要从活动目录、LDAP验证或智能卡验证中做出选择。 PMP中的智能卡验证 - 工作流用户访问PMP web界面智能卡中唯一识别用户的属性与PMP用户库中的相应属性进行比较。对于手动添加的用户，PMP数据库中的X.509证书将会与用户提供的证书进行比较。如果用户是从活动目录或LDAP中导入的，将会从活动目录或LDAP中获取并比较。如果匹配成功，用户就被允许访问。高可用性中的智能卡验证如果您配置了高可用性，并且在主服务器开启了智能卡验证，那么，也要在辅助服务器进行相同配置。操作步骤如下所示, 停止PMP主服务器连接到PMP辅助服务器点击管理 >> 用户 >> 智能卡验证在打开的界面，执行第一步至第五步（详细信息可以参照“开启智能卡验证”。) 完成以上步骤后，重启辅助服务器故障排除技巧如果在验证期间没有弹出提示让您选择客户端证书，请重启浏览器之后再试。
版权所有 ©2016, 卓豪（北京）技术有限公司，保留一切权利。