可以将您的环境设置为当用户从 vSphere Web Client 连接到 vCenter Server 或关联的 Platform Services Controller 时需要智能卡身份验证。

智能卡身份验证登录

智能卡是具有嵌入式集成电路芯片的小型塑料卡。许多政府机构和大型企业使用诸如通用访问卡 (CAC) 之类的智能卡来提高其系统的安全性和遵循安全法规。通用访问卡在每个计算机都包括智能卡读取器以及通常预装了管理通用访问卡的智能卡硬件驱动程序的环境中使用。

为 vCenter Single Sign-On 配置智能卡身份验证时,将提示登录到 vCenter ServerPlatform Services Controller 系统的用户通过智能卡和 PIN 的组合进行身份验证,如下所述:

  1. 用户将智能卡插入智能卡读取器时,vCenter Single Sign-On 读取卡上的证书。

  2. vCenter Single Sign-On 提示用户选择证书,然后提示用户输入该证书的 PIN。

  3. vCenter Single Sign-On 检查智能卡上的证书是否已知以及 PIN 是否正确。如果打开吊销检查,则 vCenter Single Sign-On 还会检查证书是否已被吊销。

  4. 如果证书是已知的且不是已吊销的证书,则用户通过身份验证,然后可以执行该用户有权执行的任务。

注:

大多数情况下,在测试期间保持用户名和密码身份验证处于启用状态很有意义。测试完成后,禁用用户名和密码身份验证并启用智能卡身份验证。之后,vSphere Client 仅允许智能卡登录。只有对计算机具有 root 特权或管理员特权的用户才可以通过直接登录到 Platform Services Controller 来重新启用用户名和密码。