•
Servidor de Microsoft Active Directory
NOTA: Si usa Active Directory en Windows 2003, asegúrese de tener las revisiones y los Service
Pack más recientes instalados en el sistema cliente. Si usa Active Directory en Windows 2008,
asegúrese de tener instalado SP1 junto con las siguientes correcciones urgentes:
Windows6.0-KB951191-x86.msu para la utilidad KTPASS. Sin esta revisión, la utilidad genera
archivos keytab dañados.
Windows6.0-KB957072-x86.msu para utilizar transacciones GSS_API y SSL durante un enlace
de LDAP.
•
Centro de distribución de claves Kerberos (se incluye con el software de servidor Active Directory).
•
Servidor DHCP (recomendado).
•
La zona inversa del servidor DNS debe tener una entrada para el servidor Active Directory y el CMC.
Sistemas cliente
•
Solamente para el inicio de sesión mediante tarjeta inteligente, el sistema cliente debe tener el
paquete redistribuible Microsoft Visual C++ 2005. Para obtener más información, consulte
www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en.
•
Para el inicio de sesión único o el inicio de sesión mediante tarjeta inteligente, el sistema cliente debe
formar parte del dominio de Active Directory y del territorio de Kerberos.
CMC
•
El CMC debe tener la versión de firmware 2.10 o superior.
•
Cada CMC debe tener una cuenta de Active Directory.
•
El CMC debe formar parte del dominio de Active Directory y del territorio de Kerberos.
Prerrequisitos para el inicio de sesión único o el inicio de
sesión mediante tarjeta inteligente
A continuación se indican los prerrequisitos para configurar el inicio de sesión único o el inicio de sesión
mediante tarjeta inteligente:
•
Configure el territorio de Kerberos y el centro de distribución de claves (KDC) para Active Directory
(ksetup).
•
Una sólida infraestructura de NTP y DNS para evitar problemas de desfase de tiempo y búsqueda
inversa.
•
Configure el CMC y el grupo de funciones de esquema estándar de Active Directory con miembros
autorizados.
•
Para la tarjeta inteligente, cree usuarios de Active Directory para cada CMC, configurados para utilizar
el cifrado DES de Kerberos pero no la preautentificación.
•
Configure el explorador para el inicio de sesión único o el inicio de sesión mediante tarjeta
inteligente.
•
Registre a los usuarios de CMC en el centro de distribución de claves con Ktpass (esto también genera
una clave que se carga en el CMC).
Enlaces relacionados
Configuración del esquema estándar de Active Directory
Configuración del esquema extendido de Active Directory
Configuración del explorador para el inicio de sesión único
178