Aktivieren der sicheren kommunikation, Verzeichnisstrukturbenutzer, Distinguished name für benutzer – HP Systems Insight Manager Benutzerhandbuch

Aktivieren und Deaktivieren der 2-Faktor-Authentifizierung

HP SIM verwendet standardmäßig den Anmeldemodus mit Benutzername und Kennwort. Die
2-Faktor-Authentifizierung kann mit der GUI aktiviert oder deaktiviert werden, indem Sie Options
(Optionen)

→Security (Sicherheit)→Two-factor Authentication (2-Faktor-Authentifizierung)→Change

Authentication Mechanism (Authentifizierungsmechanismus ändern) wählen. Diese Konfiguration
kann auch über die Befehlszeilenschnittstelle vorgenommen werden:

mxauthnconfig –m 0|1

Nach dem Aktivieren oder Deaktivieren der 2-Faktor-Authentifizierung muss der HP SIM-Dienst neu
gestartet werden, damit die Änderungen wirksam werden. Zu einem bestimmten Zeitpunkt kann
jeweils nur eine Authentifizierungstechnik aktiviert sein. Alle Benutzer werden mit der aktuell
aktivierten Authentifizierungstechnik authentifiziert.

Aktivieren der sicheren Kommunikation

HP SIM stellt sicher, dass die Vertrauenswürdigkeit des in der Smart Card enthaltenen
Benutzerzertifikats von einer gültigen und bekannten Zertifizierungsstelle (Certificate Authority =
CA) bestätigt wurde. Benutzer können sich also nur beim CMS anmelden, wenn die
Vertrauenswürdigkeit des Zertifikates bestätigt wird und das Zertifikat nicht abgelaufen ist oder
von der Zertifizierungsstelle gesperrt wurde. Zugleich wird sichergestellt, dass der Benutzer ein
gültiger SIM-Benutzer ist.

Verzeichnisstrukturbenutzer

Die 2-Faktor-Authentifizierung wird für lokale CMS-Benutzer nicht unterstützt. Sie wird für
Domänenbenutzer unterstützt, die in Microsoft Active Directory oder einem anderen
Verzeichnisdienst, z. B. Apache Directory, konfiguriert sind. HP SIM erwartet, dass ein Benutzerkonto
in HP SIM gespeichert wird. Dieses Konto kann in der GUI durch Auswahl von Options
(Optionen)

→Security (Sicherheit)→Two-factor Authentication Configuration (Konfiguration der

2-Faktor-Authentifizierung) oder mit der Befehlszeilenschnittstelle mxauthnconfig -a konfiguriert
werden. Weitere Informationen finden Sie im HP SIM-Befehlszeilenschnittstellen-Handbuch.

Distinguished Name für Benutzer

Die Distinguished Names (DN) der Benutzer müssen in HP SIM gespeichert werden, wo alle
zertifikatsbasierten Benutzer konfiguriert werden. HP SIM unterstützt nicht mehrere Distinguished
Names für Benutzer. Das Benutzernamenattribut sollte mit einem Feld bereitgestellt werden, das
in der Verzeichnisstruktur eindeutig ist und zum eindeutigen Erstellen eines Benutzers in HP SIM
verwendet werden kann. Dies kann sAMAccountName für Active Directory oder ein beliebiges
eindeutiges Feld wie UID/ID/email/empID für offene Verzeichnisse sein.

SAN (Subject Alternative Name)

HP SIM setzt für alle Zertifikate voraus, dass sie das Feld „Subject Alternative Name->Other name“
(SAN->Anderer Name) mit dem „User Principal Name“ (Benutzer-Hauptname) enthalten. Dieser
„User Principal Name“ wird in HP SIM dem Benutzerkonto zugeordnet.

Authentifizierungsphase

Diese Phase schließt die Validierung des Zertifikats in Bezug auf die folgenden Anforderungen
ein:

•

Die Vertrauenswürdigkeit des Zertifikats wird durch eine gültige oder bekannte
Zertifizierungsstelle (Certificate Authority = CA) bestätigt.

•

Das Zertifikat ist nicht abgelaufen und noch gültig.

•

Das Zertifikat wurde nicht von der CA gesperrt.

Wenn eine dieser Validierungen fehlschlägt, meldet der CMS einen Fehler an den Benutzer.

134

Rechteerweiterungen