sso-config ユーティリティを使用して、コマンド ラインからスマート カード認証を設定できます。このユーティリティは、すべてのスマート カード設定タスクをサポートしています。

始める前に

  • 環境内で Platform Services Controller バージョン 6.0 Update 2 以降、および vCenter Server バージョン 6.0 以降を使用していることを確認します。バージョン 5.5 のノードをバージョン 6.0 にアップグレードします。

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。

    • Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応するユーザー プリンシパル名 (UPN)。

    • クライアント認証は、証明書の「アプリケーション ポリシー」または「拡張キーの使用」フィールドで指定されている必要があります。指定されていない場合、証明書がブラウザに表示されません。

  • Platform Services Controller Web インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザによる認証は試行されません。

  • Active Directory アイデンティティ ソースを構成し、vCenter Single Sign-On に アイデンティティ ソースとして追加します。

  • vCenter Server 管理者ロールを、Active Directory アイデンティティ ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、Active Directory グループに参加し、vCenter Server 管理者権限が付与されることで認証が可能になります。administrator@vsphere.local ユーザーは、スマート カード認証を実行できません。

  • Platform Services Controller の高可用性ソリューションを環境内で使用する場合、スマート カード認証を設定する前に、すべての高可用性の構成を完了する必要があります。VMware のナレッジベースの記事 KB2112085 (Windows) または KB2113315 (vCenter Server Appliance) を参照してください。

このタスクについて

コマンド ラインからスマート カード認証を設定するときには、必ず最初に sso-config コマンドを使用して、Platform Services Controller を設定します。その後で、Platform Services Controller Web インターフェイスを使用して、他のタスクを実行します。

  1. ユーザーのログイン時に Web ブラウザがスマート カード証明書の送信を要求するよう、Platform Services Controller を設定します。

  2. 認証ポリシーを設定します。sso-config スクリプトまたは Platform Services Controller Web インターフェイスを使用して、ポリシーを設定できます。サポートされている認証タイプおよび失効の設定は VMware Directory Service に保存され、vCenter Single Sign-On ドメインのすべての Platform Services Controller インスタンスにわたってレプリケートされます。

スマート カード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマート カード認証を使用してログインする必要があります。

vSphere Web Client からのログインが機能しない場合、およびユーザー名とパスワードによる認証が無効な場合、root または管理者ユーザーは、 Platform Services Controller コマンド ラインから次のコマンドを実行することで、ユーザー名とパスワードによる認証を再度有効にできます。この例は Windows 向けのものです。Linux の場合は、sso-config.sh を使用します。

sso-config.bat -set_authn_policy -pwdAuthn true

次の場所で sso-config スクリプトを検索できます。

Windows

C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

手順

  1. 証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

    オプション

    説明

    Windows

    Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

    アプライアンス

    1. 直接または SSH を使用してアプライアンス コンソールにログインします。

    2. アプライアンス シェルを次のように有効にします。

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。

    4. 必要に応じて、アプライアンス シェルを次のように無効にします。

      chsh -s "bin/appliancesh" root
  2. Platform Services Controller ノードで sso-config CLI を使用して、スマート カード認証を設定します。
    1. sso-config スクリプトが配置されているディレクトリに移動します。

      オプション

      説明

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      アプライアンス

      /opt/vmware/bin

    2. 次のコマンドを実行します。
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      例:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local
      
    3. 仮想マシンまたは物理マシンを再起動します。
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. VMware Directory Service (vmdir) のスマート カード認証を有効にするには、次のコマンドを実行します。
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    例:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    複数の証明書を指定する場合、証明書間のスペースは許可されません。

  4. 他の認証方法をすべて無効にするには、次のコマンドを実行します。
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

    これらのコマンドにより、必要に応じて各種の認証方法を有効または無効にすることができます。

  5. (オプション) : 証明書ポリシーのホワイト リストを設定するには、次のコマンドを実行します。
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    複数のポリシーを指定するには、次のようにコンマでポリシーを区切ります。

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    このホワイト リストには、証明書の証明書ポリシー拡張で許可されているポリシーのオブジェクト ID を指定します。X509 証明書では、証明書ポリシー拡張を使用できます。

  6. (オプション) : 構成情報をリストで表示するには、次のコマンドを実行します。
    sso-config.[bat|sh] -get_authn_policy -t tenantName