智能卡验证

智能卡身份验证，作为ADManager Plus的又一种身份验证方式，通过智能卡、PKI、证书来验证用户身份。智能卡验证增强了ADManager Plus安全性，因为用户在进入ADManager Plus之前，用户需要提供智能卡以及个人身份识别码（PIN）。

用户必须通过智能卡验证后，才被允许访问ADManager Plus界面。ADManager Plus中的智能卡验证通过SSL通信来完成。所以用户需要提供 X.509证书。

您提供的证书可以来自智能卡或本地证书库中提供证书。ADManager Plus通过验证该证书来验证您的身份。 如果您不能提供该证书，也可以通过常规认证界面进行登录。

如果您的环境中有智能卡认证系统，那么完全可以在ADManager Plus中为用户配置智能卡身份验证。

配置智能卡验证：

1. 点击管理。

2. 在配置智能卡登录之前，请启用SSL端口(https)。检查SSL端口设置，请点击 常规设置 中的 连接。 如果您还没启用SSL端口，请选择 启用SSL端口[https], 复选框，并指定端口号。点击 保存变更。

3. 点击 常规设置中的智能卡验证。

4. 选择“启用”，启用智能卡验证

5. 点击 添加智能卡配置按钮。

6. 在添加智能卡配置界面，

• 在导入CA根证书配置项，,点击“浏览”并导入由权威机构颁发的证书文件。
  
  请打开http://CertificateAuthorityServerName/certsrv/ 并下载CA根证书。
  
  

• 在映射证书中的属性，输入要被映射的证书属性。
  
  用户的信息将会在智能卡证书和ADManager Plus用户库中建立映射。就是说，智能卡证书中唯一识别用户身份的属性要与ADManager Plus用户库中相应的值能够匹配。
  
  对于频繁使用的智能卡证书中的属性，您可以在ADManager Plus中灵活的输入，可选的属性有SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, email, distinguishedName和CommonName。如果您需要其它属性用于唯一识别用户，请联系ADManager Plus技术支持帮您添加。

• 在映射AD中的属性配置项中，请输入能与指定证书属性匹配的LDAP属性。

  
  您需要在这输入唯一识别用户身份的LDAP属性，这里的用户就是ADManager Plus用户库中的用户。LDAP属性举例：sAMAccountName。
  
  在身份验证过程中，ADManager Plus会读取您指定的证书属性相应的值并与您指定的LDAP属性进行比较，这个证书属性就是您在映射证书中的属性中设置的内容。

• 在链接的域中，选择相应的域。

• 在OCSP服务器名称，输入OCSP服务器名称。
  

• 在OCSP服务器端口，输入正确的OCSP服务器端口。

8. 点击保存。

9. 您还可以按照以上步骤添加更多证书。