可以从 vSphere Client 启用和停用智能卡身份验证、自定义登录横幅以及设置吊销策略。
如果已启用智能卡身份验证并停用了其他身份验证方法,则用户必须使用智能卡身份验证进行登录。
如果停用了用户名和密码身份验证,并且智能卡身份验证出现问题,则用户无法登录。在这种情况下,root 或管理员用户可以从
vCenter Server命令行打开用户名和密码身份验证。以下命令可激活用户名和密码身份验证。
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
前提条件
- 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:
- 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。
-
必须在证书的“应用程序策略”或“扩展密钥用法”字段中指定“客户端身份验证”,否则浏览器将不显示证书。
- 将 Active Directory 标识源添加到 vCenter Single Sign-On。
- 将vCenter Server管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server管理员特权。
- 确保已设置反向代理并重新启动物理机或虚拟机。
过程
下一步做什么
您的环境可能需要增强的 OCSP 配置。
- 如果发出 OCSP 响应的 CA 不是智能卡的签名 CA,请提供 OCSP 签名 CA 证书。
- 您可以在多站点部署中为每个 vCenter Server 站点配置一个或多个本地 OCSP 响应者。您可以使用 CLI 配置这些替代 OCSP 响应者。请参见使用 CLI 管理智能卡身份验证。