第 29 章�
Windows Desktop SSO 認證屬性
Windows Desktop SSO 認證屬性為組織屬性。在服務配置下套用於這些屬性的值會成為 Windows Desktop SSO 認證範本的預設值。組織註冊服務後,需要建立服務範本。註冊後組織的管理員可以變更預設值。組織屬性不會由組織子樹中的項目繼承。
此認證模組需要由作為網域控制器執行之 Windows 2000 伺服器提供的 Kerberos 認證服務。
Windows Desktop SSO 認證屬性包括:
服務主體
此屬性指定用於認證的 Kerberos 主體。請使用以下格式:
HTTP/hostname.domainname@dc_domain_name
hostname 和 domainame 表示 Identity Server 實例的主機名稱和網域名稱。dc_domain_name 為 Windows 2000 Kerberos 伺服器 (網域控制器) 駐留的 Kerberos 網域。它可能與 Identity Server 的網域名稱不同。
Keytab 檔案名稱
此屬性指定用於認證的 Kerberos keytab 檔案。雖然不要求格式,但是請使用以下格式:
hostname.HTTP.keytab
hostname 為 Identity Server 實例的主機名稱。
Kerberos 範圍
此屬性指定 Kerberos 發行中心 (網域控制器) 網域名稱。依據您的配置,網域控制器的網域名稱可與 Identity Server 網域名稱不同。
Kerberos 伺服器名稱
此屬性指定 Kerberos 發行中心 (網域控制器) 主機名稱。您必須輸入網域控制器的完整網域名稱 (FQDN)。
傳回帶有網域名稱的主體
如果啟用,此屬性可讓 Identity Server 在認證期間自動傳回帶有網域控制器之網域名稱的 Kerberos 主體。
認證層級
會分別為每個認證方法設定認證層級。此值指示信任認證的程度。使用者進行認證後,此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時,應用程式將使用此儲存值以決定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求,應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。預設值為 0。
|
|
注意
|
如果未指定任何認證層級,SSO 記號會將 [核心認證] 屬性中指定的值儲存為預設認證層級。請參閱預設認證層級,以取得詳細資訊。 2004Q2 版本中此功能不能正常執行。 但是之前的版本卻可以。
|
|
