Data Domain — 使用 CAC 或 PIV 智能卡和用户证书登录

前提条件

• 要使用用户证书登录，保护系统必须信任一个或多个 CA 证书（根证书以及任何中间 CA 证书）：
  • 对于本地用户，必须在证书的 common-name 字段中指定用户身份。
  • 对于 Active Directory 用户，可以在“SubjectAlternativeName”字段中的“OtherNames”下将用户身份指定为主题行（或）中 Microsoft UPN 格式的 commonName 值。
• 您必须在保护系统上拥有用户帐户。您可以是本地用户或名称服务用户（NIS 或 AD）。

对于名称服务用户，必须在保护系统上配置组到角色映射。

• 导入的 CRL 不得吊销用户证书和上游中间 CA。

步骤

1. 运行以下命令以为用户启用基于证书的登录：

adminaccess certificate import ca application login-auth

2. （可选）要为安全用户启用基于证书的登录，请导入可颁发安全用户证书的 CA 证书，运行以下命令：

3. 使用 CAC/PIV 卡登录到 Data Domain System Manager：

adminaccess certificate import ca application login-auth

• 对于 Microsoft Windows，将 PIV 卡插入连接到工作站的 PIV 读卡器后，将自动读取并导入用户证书。
• 在浏览器中，单击Login with certificate，然后从提示已导入用户证书列表的对话框中选择用户证书。
• 选择时，将强制执行在 PIV 卡上启用的任何其他 MFA，并且输入有效的 PIN 时，用户应有权访问 PowerProtect DD System Manager。

4. 通过 SSH 使用 CAC/PIV 卡登录到 Data Domain CLI：

• 使用支持基于 X.509 证书的登录的 SSH 客户端（示例：SecureCRT、PKIXSSH 的 ssh），并参阅相应的用户指南，以在客户端应用程序上使用 CAC/PIV/智能卡配置基于证书的登录。

结果

系统根据信任库验证用户证书。根据与您的帐户关联的授权权限，将为您创建一个用户会话。
 

Data Domain — 如何禁用基于密码的登录和 AD 身份验证，并仅对本地用户使用 PIV 卡。