使用AD域同步账户,代理执行USBkey移动证书认证时无法通过认证的问题

发布时间:  2012-07-19 浏览次数:  178 下载次数:  0
问题描述

某客户部署TSM系统,需要从AD域同步客户端帐号,同时客户端认证时使用USBkey进行认证。从AD域同步帐号信息正常,USBkey配置也正常,但是无法完成认证。

告警信息
处理过程
在TSM中配置同步规则时使用LDAP的方式进行同步,可解决此问题。
配置如下:
 
1.在TSM中配置同步规则,按照common LDAP Server的方式进行同步。
只是选择common LDAP Server方式同步,其余参数正确填写。

2. 因为此处使用的LDAP方式同步AD域账号,而AD域账号中的属性与TSM LDAP同步方式给出的默认数据结构映射不相符,因此需要更改。
在common LDAP Server同步规则的数据结构映射中修改与AD域想匹配的数据结构映射
 
部门数据结构映射关系配置如下:


用户数据结构映射关系配置如下:


3.新建一条部门映射规则,将包含新建账号的源DN与某个部门对应起来;注意,只能选择按OU同步:

完成配置后,点击立即同步,此时查看同步到的账户信息就已经不携带“ @secospace.com ”后缀,客户端再选择移动证书进行认证,此时能正常完成认证。
根因

TSM从AD能正常同步到帐号,USBkey单独进行认证也无问题,但是两者一联动就无法完成认证。

从AD域同步到的帐号格式为:“ name@secospace.com ”。但是在USBkey上的帐号信息没有携带“ @secospace.com ”的后缀,因此需要去除该后缀才能完成认证过程。

建议与总结

AD域同步到的帐号格式必定携带 @xxx.xxx 后缀,根据需要,可采用LDAP方式去除此后缀。

END