可以将您的环境设置为要求用户使用 RSA SecurID 令牌而不是密码登录。仅支持从命令行进行 SecurID 设置。

开始之前

  • 验证您的环境是否使用 Platform Services Controller 版本 6.5,以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller 版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。

  • 验证您的环境是否具有正确配置的 RSA Authentication Manager,以及用户是否具有 RSA 令牌。需要 RSA Authentication Manager 版本 8.0 或更高版本。

  • 验证 RSA Manager 使用的标识源是否已添加到 vCenter Single Sign-On。请参见添加 vCenter Single Sign-On 标识源

  • 验证 RSA Authentication Manager 系统是否可以解析 Platform Services Controller 主机名,以及 Platform Services Controller 系统是否可以解析 RSA Authentication Manager 主机名。

  • 通过选择访问 > 身份验证代理 > 生成配置文件,从 RSA Manager 导出 sdconf.rec 文件。解压缩生成的 AM_Config.zip 文件以查找 sdconf.rec 文件。

  • sdconf.rec 文件复制到 Platform Services Controller 节点。

关于此任务

有关详细信息,请参见两个有关 RSA SecurID 设置的 vSphere 博客帖子。

注:

RSA Authentication Manager 要求用户 ID 为使用 1 到 255 个 ASCII 字符的唯一标识符。不允许使用以下字符:与号 (&)、百分号 (%)、大于号 (>)、小于号 (<) 和单引号 (`)。

过程

  1. 更改到 sso-config 脚本所在的目录。

    选项

    描述

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    Appliance

    /opt/vmware/bin

  2. 要启用 RSA SecurID 身份验证,请运行以下命令。
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName 是 vCenter Single Sign-On 域的名称,默认情况下为 vsphere.local。

  3. (可选) : 要禁用其他身份验证方法,请运行以下命令。
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. 要配置环境以使当前站点的租户使用 RSA 站点,请运行以下命令。
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    例如:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    可以指定以下选项。

    选项

    描述

    siteID

    可选 Platform Services Controller 站点 ID。Platform Services Controller 支持每个站点具有一个 RSA Authentication Manager 实例或群集。如果您未明确指定该选项,则 RSA 配置用于当前 Platform Services Controller 站点。仅当添加不同的站点时才使用此选项。

    agentName

    在 RSA Authentication Manager 中定义。

    sdConfFile

    从 RSA Manager 下载的 sdconf.rec 文件的副本,其中包括 RSA Manager 的 IP 地址等配置信息。

  5. (可选) : 要将租户配置更改为非默认值,请运行以下命令。
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    通常情况下,默认值是合适的,例如:

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (可选) : 如果标识源未将用户主体名称用作用户 ID,则设置标识源的 userID 属性。

    userID 属性确定哪个 LDAP 属性用作 RSA userID。

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    例如:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 要显示当前设置,请运行以下命令。
    sso-config.sh -t tenantName -get_rsa_config

结果

如果已禁用用户名和密码身份验证且已启用 SecurID 令牌身份验证,则用户必须使用其用户名和 SecurID 令牌进行登录。无法再使用用户名和密码进行登录。