可以从 Platform Services Controller Web 界面启用和禁用智能卡身份验证、自定义登录横幅以及设置吊销策略。

关于此任务

如果已启用智能卡身份验证并禁用其他身份验证方法,则用户需要使用智能卡身份验证进行登录。

如果禁用用户名和密码身份验证,且智能卡身份验证出现问题,则用户无法登录。在这种情况下,root 或管理员用户可以从 Platform Services Controller 命令行打开用户名和密码身份验证。以下命令可启用用户名和密码身份验证。

操作系统

命令

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用默认租户,请使用 vsphere.local 作为租户名称。

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用默认租户,请使用 vsphere.local 作为租户名称。

先决条件

  • 验证您的环境是否使用 Platform Services Controller 版本 6.5,以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller 版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。

  • 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:

    • 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。

    • 必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”,否则浏览器将不显示证书。

  • 确认 Platform Services Controller Web 界面证书受最终用户工作站信任。否则,浏览器不会尝试身份验证。

  • 将 Active Directory 标识源添加到 vCenter Single Sign-On。

  • vCenter Server 管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server 管理员特权。

    注:

    默认情况下,vCenter Single Sign-On 域的管理员 administrator@vsphere.local 无法执行智能卡身份验证。

  • 设置反向代理,然后重新启动物理机或虚拟机。

过程

  1. 获取证书并将其复制到 sso-config 实用程序可以检测到的文件夹。

    选项

    描述

    Windows

    登录到 Platform Services Controller Windows 安装,并使用 WinSCP 或类似的实用程序复制文件。

    Appliance

    1. 直接或者使用 SSH 登录到设备控制台。

    2. 启用设备 shell,如下所示。

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. 使用 WinSCP 或类似的实用程序将证书复制到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf

    4. 选择性禁用设备 shell,如下所示。

      chsh -s "bin/appliancesh" root
  2. 从 Web 浏览器连接到 vSphere Web ClientPlatform Services Controller

    选项

    描述

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  3. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  4. 导航到 vCenter Single Sign-On 配置 UI。

    选项

    描述

    vSphere Web Client

    1. 主页菜单中,选择系统管理

    2. Single Sign-On 下,单击配置

    Platform Services Controller

    单击 Single Sign-On,然后单击配置

  5. 单击智能卡配置,并选择可信 CA 证书选项卡。
  6. 要添加一个或多个可信证书,请单击添加证书,单击浏览,从可信 CA 选择所有证书,然后单击确定
  7. 要指定身份验证配置,请单击身份验证配置旁边的编辑,然后选择或取消选择身份验证方法。

    无法从此 Web 界面启用或禁用 RSA SecurID 身份验证。但是,如果已从命令行启用 RSA SecurID,状态将显示在该 Web 界面中。

下一步做什么

您的环境可能需要增强的 OCSP 配置。

  • 如果发出 OCSP 响应的 CA 不是智能卡的签名 CA,请提供 OCSP 签名 CA 证书。

  • 您可以在多站点部署中为每个 Platform Services Controller 站点配置一个或多个本地 OCSP 响应者。您可以使用 CLI 配置这些替代 OCSP 响应者。请参见使用命令行管理智能卡身份验证