可以使用智能卡身份验证登录到 ESXi 直接控制台用户界面 (DCUI),方法是使用个人身份验证 (PIV)、通用访问卡 (CAC) 或 SC650 智能卡,而不是指定用户名和密码。

智能卡是具有嵌入式集成电路芯片的小型塑料卡。许多政府机构和大型企业使用基于智能卡的双因素身份验证来提高其系统的安全性和遵循安全法规。

ESXi 主机上启用智能卡身份验证后,DCUI 会提示您提供智能卡和 PIN 组合,而不是默认提示输入用户名和密码。

  1. 将智能卡插入到智能卡读卡器时,ESXi 主机会读取该卡上的凭据。
  2. ESXi DCUI 会显示登录 ID,并提示您输入 PIN。
  3. 输入 PIN 后,ESXi 主机会将其与存储在智能卡上的 PIN 匹配,并使用 Active Directory 验证智能卡上的证书。
  4. 成功验证智能卡证书后,ESXi 将让您登录到 DCUI。

按下 F3 即可从 DCUI 切换到用户名和密码身份验证。

在连续几次输入错误的 PIN (通常三次)后,智能卡上的芯片将锁定。如果智能卡已锁定,则只有选定人员才能将其解锁。

激活智能卡身份验证

激活智能卡身份验证后,在登录到 ESXi DCUI 时,会提示您提供智能卡和 PIN。

前提条件

  • 设置基础架构以处理智能卡身份验证,例如 Active Directory 域中的帐户、智能读卡器和智能卡。
  • ESXi 配置为加入一个支持智能卡身份验证的 Active Directory 域。有关详细信息,请参见使用 Active Directory 管理 ESXi 用户
  • 使用 vSphere Client 添加根证书。请参见管理 ESXi 主机的证书

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择身份验证服务
    您将看到当前智能卡身份验证状态和一个包含已导入证书的列表。
  4. 在“智能卡身份验证”面板中,单击编辑
  5. 在“编辑智能卡身份验证”对话框中,选择“证书”页面。
  6. 添加可信证书颁发机构 (CA) 颁发的证书,例如根和中间 CA 证书。
    证书必须采用 PEM 格式。
  7. 打开“智能卡身份验证”页面,选中启用智能卡身份验证复选框,然后单击确定

停用智能卡身份验证

停用智能卡身份验证以恢复 ESXi DCUI 登录的默认用户名和密码身份验证。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择身份验证服务
    您将看到当前智能卡身份验证状态和一个包含已导入证书的列表。
  4. 在“智能卡身份验证”面板中,单击编辑
  5. 在“智能卡身份验证”页面上,取消选中启用智能卡身份验证复选框,然后单击确定

如果出现连接问题,使用用户名和密码进行身份验证

如果无法访问 Active Directory (AD) 域服务器,则可以使用用户名和密码身份验证登录到 ESXi DCUI 以在主机上执行应急操作。

在异常情况下,由于连接问题、网络故障或灾难,无法访问 AD 域服务器以对智能卡上的用户凭据进行身份验证。在这种情况下,您可以使用本地 ESXi 管理员用户的凭据登录到 ESXi DCUI。登录后,您可以执行诊断或其他紧急操作。此时将记录回退到用户名和密码登录。与 AD 的连接恢复后,请再次启用智能卡身份验证。

注: 如果 Active Directory (AD) 域服务器可用,则丢失与 vCenter Server 的网络连接不会影响智能卡身份验证。

在锁定模式下使用智能卡身份验证

激活时,ESXi 主机上的锁定模式可提高主机的安全性并限制对 DCUI 的访问。锁定模式可能会导致智能卡身份验证不再起作用。

在正常锁定模式下,只有“异常用户”列表中具有管理员特权的用户才能访问 DCUI。异常用户是指具有在本地为 ESXi 主机定义的特权的主机本地用户或 Active Directory 用户。如果要在正常锁定模式下使用智能卡身份验证,则必须从 vSphere Client 将用户添加到“例外用户”列表。主机进入正常锁定模式时,这些用户不会丢失其权限且可以登录到 DCUI。有关详细信息,请参见指定锁定模式异常用户

在严格锁定模式下,DCUI 服务已停止。因此,无法使用智能卡身份验证访问主机。