可以从 vSphere Client 启用和禁用智能卡身份验证、自定义登录横幅以及设置吊销策略。

如果已启用智能卡身份验证并禁用其他身份验证方法,则用户需要使用智能卡身份验证进行登录。

如果禁用用户名和密码身份验证,且智能卡身份验证出现问题,则用户无法登录。在这种情况下,root 或管理员用户可以从 Platform Services Controller命令行打开用户名和密码身份验证。以下命令可启用用户名和密码身份验证。
操作系统 命令
Windows 
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用默认租户,请使用 vsphere.local 作为租户名称。

Linux 
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用默认租户,请使用 vsphere.local 作为租户名称。

前提条件

  • 验证您的环境是否使用 Platform Services Controller 6.5 或更高版本,以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。
  • 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:
    • 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。

    • 必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”,否则浏览器将不显示证书。

  • 验证 Platform Services Controller 证书是否受最终用户工作站信任。否则,浏览器不会尝试身份验证。
  • 将 Active Directory 标识源添加到 vCenter Single Sign-On。
  • vCenter Server管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server管理员特权。
    注: 默认情况下,vCenter Single Sign-On 域的管理员 [email protected] 无法执行智能卡身份验证。
  • 设置反向代理,然后重新启动物理机或虚拟机。

过程

  1. 获取证书并将其复制到 sso-config 实用程序可以检测到的文件夹。
    选项 描述
    Windows 登录到 Platform Services Controller Windows 安装,并使用 WinSCP 或类似的实用程序复制文件。
    Appliance
    1. 直接或者使用 SSH 登录到设备控制台。
    2. 启用设备 shell,如下所示。 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. 使用 WinSCP 或类似的实用程序将证书复制到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf
    4. 选择性禁用设备 shell,如下所示。 
      chsh -s "/bin/appliancesh" root
  2. 使用 vSphere Client登录到已连接到 Platform Services ControllervCenter Server
  3. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  4. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  5. 智能卡身份验证下,单击编辑
  6. 选择或取消选择身份验证方法,然后单击保存
    可以仅选择智能卡身份验证,也可以同时选择智能卡身份验证以及密码和 Windows 会话身份验证。
    无法从此 Web 界面启用或禁用 RSA SecurID 身份验证。但是,如果已从命令行启用 RSA SecurID,状态将显示在该 Web 界面中。
    此时将显示 受信任的 CA 证书
  7. 受信任的 CA 证书选项卡下,单击添加,然后单击浏览
  8. 从受信任的 CA 选择所有证书,然后单击添加

下一步做什么

您的环境可能需要增强的 OCSP 配置。
  • 如果发出 OCSP 响应的 CA 不是智能卡的签名 CA,请提供 OCSP 签名 CA 证书。
  • 您可以在多站点部署中为每个 Platform Services Controller 站点配置一个或多个本地 OCSP 响应者。您可以使用 CLI 配置这些替代 OCSP 响应者。请参见使用命令行管理智能卡身份验证