配置
Symantec Endpoint Protection Manager
以对使用智能卡登录的管理员进行身份验证

在 14.2 或更高版本中,在美国联邦机构工作的管理员可以使用智能卡登录
Symantec Endpoint Protection Manager
要设置智能卡身份验证,管理员需要执行以下步骤:
关于智能卡
美国联邦机构现在使用一种软件系统,该系统支持智能卡身份验证以满足 HSPD-12 要求。美国联邦智能卡包含授予持卡人访问联邦设施和信息系统的权限所必需的数据。此访问权限可确保为所有适用的联邦应用程序提供适当的安全级别。
某些 Windows 客户端计算机或工作站在键盘中内置了 PIV 或 CAC 读卡器。
Symantec Endpoint Protection Manager
对使用以下类型的智能卡的管理员进行身份验证:
  • 个人身份验证 (PIV) 卡(适用于文职人员)
  • 通用访问卡 (CAC)(适用于军事人员)
  • 在 FIPS 模式下:
    Symantec Endpoint Protection Manager
    不支持使用 ECDSA 和 RSASSA-PSS 签名的智能卡。
  • 在非 FIPS 模式下:
    Symantec Endpoint Protection Manager
    不支持使用 RSASSA-PSS 签名的智能卡。
请参阅:HSPD-12
第 1 步:为
Symantec Endpoint Protection Manager
配置智能卡身份验证
此步骤验证卡证书是否由正确的颁发机构颁发。然后,在管理员登录时,管理服务器读取智能卡的证书,并根据这些 CA 证书对其进行验证。
要验证证书文件,管理服务器将访问 Internet,检查证书文件是否未列在证书吊销列表 (CRL) 中。
确保所有根文件和中间文件都存在于管理员的计算机上,否则管理员无法登录。
配置
Symantec Endpoint Protection Manager
使用智能卡身份验证
  1. 在控制台中,单击
    “管理员”>“服务器”
    ,然后选择本地管理服务器名称。
  2. 在“
    任务
    ”下,单击“
    配置智能卡身份验证
    ”。
  3. 在“
    指定根证书和/或中间证书文件的路径
    ”文本框中,浏览到一个或多个证书文件,然后单击“
    确定
    ”。
    选择您需要进行吊销检查的所有证书文件。要选择多个文件,请按
    Ctrl
    可选
    :如果管理员登录的管理服务器无法访问 Internet,则在“
    指定证书吊销列表的路径
    ”文本框中,添加 .crl 或 .pem 文件。您还必须在这些管理服务器上执行以下任务。第 2 步:配置管理服务器以执行吊销检查(仅适用于暗网)
  4. 单击“
    确定
    ”。
  5. 如果管理员通过 Web 控制台远程登录到
    Symantec Endpoint Protection Manager
    ,他们必须重新启动
    Symantec Endpoint Protection Manager
    服务和
    Symantec Endpoint Protection Manager
    Web 服务。
步骤 2(可选):配置管理服务器以执行吊销检查(对于暗网必需执行此操作)
如果管理服务器无法访问 Internet,则必须将其配置为检查管理服务器计算机上的 CRL 文件。如果不进行此检查,虽然管理员仍可以登录,但管理服务器无法检查 CRL 文件,从而可能引起安全问题。
配置管理服务器以执行吊销检查(仅适用于暗网)
  1. 在此管理服务器上,打开以下文件:
    Symantec Endpoint Protection Manager 安装路径
    \tomcat\etc\conf.properties
  2. conf.properties
    文件中,添加
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    并保存该文件。
  3. 重新启动管理服务器服务。
步骤 3(可选):配置管理服务器以执行吊销检查(对于暗网必需执行此操作)
此步骤通过设置 PIV 身份验证,以智能卡用户身份对管理员进行身份验证。PIV 身份验证需要证书和密钥对以用于验证 PIV 凭据是否由授权实体颁发、是否未过期以及是否未吊销。PIV 凭据也可标识管理员是否为获得该凭据的同一个人。
此步骤还可确保用户只需输入其用户名、插入卡并键入智能卡 PIN,即可登录 Symantec Endpoint Protection Manager。他们不需要输入 Symantec Endpoint Protection Manager 密码。
不支持通过 IPv6 的智能卡身份验证。
  1. 在控制台中,单击
    “管理员”>“服务器”>“管理员”
  2. 添加新管理员或编辑现有管理员。
  3. 在“
    验证
    ”选项卡上,单击“
    启用智能卡身份验证
    ”。
  4. 浏览到该管理员持有的 PIV 卡或 CAC 对应的身份验证证书文件,然后单击“
    确定
    ”。
  5. 在“
    确认更改
    ”对话框中,键入管理员的密码,然后单击“
    确定
    ”。
    对于使用智能卡登录
    Symantec Endpoint Protection Manager
    的每位管理员,执行此步骤。
第 4 步:使用智能卡登录
Symantec Endpoint Protection Manager
要登录到
Symantec Endpoint Protection Manager
,管理员可以将卡插入智能卡读卡器,并键入 PIN 码。智能卡管理员登录并使用管理服务器时,必须始终将智能卡插入读卡器中。如果管理员取出智能卡,
Symantec Endpoint Protection Manager
会在 30 秒内将管理员注销。
Java 控制台和 Web 控制台支持智能卡身份验证。RMM 控制台和 REST API 不支持智能卡身份验证。
故障排除和复制
如果两个站点相互复制,包含最近配置的 CA 文件的站点会覆盖所有其他站点上的 CA 文件。