智能卡是具有嵌入式集成电路芯片的小型塑料卡。许多政府机构和大型企业使用诸如通用访问卡 (CAC) 之类的智能卡来提高其系统的安全性和遵循安全法规。在使用智能卡的环境中,每台计算机都应具有智能卡读取器。通常会预装用于管理智能卡的智能卡硬件驱动程序。

为 vCenter Single Sign-On 配置智能卡身份验证时,您必须先设置环境,然后用户才能使用智能卡身份验证进行登录。

  • 如果使用的是 vSphere 6.0 及更低版本,请确认安装了客户端集成插件。

  • 如果使用的是 vSphere 6.5 及更高版本,请确认安装了增强型身份验证插件。请参见vSphere 安装和设置

然后,将提示登录到 vCenter ServerPlatform Services Controller 系统的用户通过智能卡和 PIN 的组合进行身份验证,如下所述。

  1. 用户将智能卡插入智能卡读取器时,vCenter Single Sign-On 读取卡上的证书。

  2. vCenter Single Sign-On 提示用户选择证书,然后提示用户输入该证书的 PIN。

  3. vCenter Single Sign-On 检查智能卡上的证书是否已知以及 PIN 是否正确。如果打开了吊销检查,则 vCenter Single Sign-On 还会检查证书是否已被吊销。

  4. 如果是已知且未被吊销的证书,则用户通过身份验证并可以执行有权执行的任务。

注:

通常情况下,在测试期间保持用户名和密码身份验证处于启用状态很有意义。测试完成后,禁用用户名和密码身份验证并启用智能卡身份验证。随后,vSphere Web Client 仅允许智能卡登录。只有对计算机具有 root 特权或管理员特权的用户才可以通过直接登录到 Platform Services Controller 来重新启用用户名和密码身份验证。