可以使用 sso-config 实用程序从命令行管理智能卡身份验证。该实用程序支持所有智能卡配置任务。
您可以在以下位置找到
sso-config 脚本:
Windows | C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat |
Linux | /opt/vmware/bin/sso-config.sh |
支持的身份验证类型和吊销设置的配置存储在 VMware Directory Service 中,且在 vCenter Single Sign-On 域中的所有 Platform Services Controller 实例之间复制。
如果禁用用户名和密码身份验证,且智能卡身份验证出现问题,则用户无法登录。在这种情况下,root 或管理员用户可以从
Platform Services Controller 命令行打开用户名和密码身份验证。以下命令可启用用户名和密码身份验证。
操作系统 | 命令 |
---|---|
Windows | sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> 如果您使用默认租户,请使用 vsphere.local 作为租户名称。 |
Linux | sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> 如果您使用默认租户,请使用 vsphere.local 作为租户名称。 |
如果您使用 OCSP 进行吊销检查,则可以依靠在智能卡证书 AIA 扩展中指定的默认 OCSP。您还可以替代默认设置并配置一个或多个替代 OCSP 响应者。例如,您可以设置 vCenter Single Sign-On 站点本地的 OCSP 响应者,用于处理吊销检查请求。
注: 如果您的证书未定义 OCSP,请改为启用 CRL(证书吊销列表)。
前提条件
- 验证您的环境是否使用 Platform Services Controller 版本 6.5,以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller 版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。
- 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:
- 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。
必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”,否则浏览器将不显示证书。
- 确认 Platform Services Controller Web 界面证书受最终用户工作站信任。否则,浏览器不会尝试身份验证。
- 将 Active Directory 标识源添加到 vCenter Single Sign-On。
- 将 vCenter Server 管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server 管理员特权。
注: 默认情况下,vCenter Single Sign-On 域的管理员 [email protected] 无法执行智能卡身份验证。
- 设置反向代理,然后重新启动物理机或虚拟机。