Platform Services Controller Web インターフェイスから、スマート カード認証の有効と無効の切り替え、ログイン バナーのカスタマイズ、失効ポリシーの設定を行うことができます。

始める前に

  • 環境内で Platform Services Controller バージョン 6.0 Update 2 以降、および vCenter Server バージョン 6.0 以降を使用していることを確認します。バージョン 5.5 のノードをバージョン 6.0 にアップグレードします。

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。

    • Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応するユーザー プリンシパル名 (UPN)。

    • クライアント認証は、証明書の「アプリケーション ポリシー」または「拡張キーの使用」フィールドで指定されている必要があります。指定されていない場合、証明書がブラウザに表示されません。

  • Platform Services Controller Web インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザによる認証は試行されません。

  • Active Directory アイデンティティ ソースを構成し、vCenter Single Sign-On に アイデンティティ ソースとして追加します。

  • vCenter Server 管理者ロールを、Active Directory アイデンティティ ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、Active Directory グループに参加し、vCenter Server 管理者権限が付与されることで認証が可能になります。administrator@vsphere.local ユーザーは、スマート カード認証を実行できません。

  • Platform Services Controller の高可用性ソリューションを環境内で使用する場合、スマート カード認証を設定する前に、すべての高可用性の構成を完了する必要があります。VMware のナレッジベースの記事 KB2112085 (Windows) または KB2113315 (vCenter Server Appliance) を参照してください。

このタスクについて

コマンド ラインからスマート カード認証を設定するときには、必ず最初に sso-config コマンドを使用して、Platform Services Controller を設定します。その後で、Platform Services Controller Web インターフェイスを使用して、他のタスクを実行します。

  1. ユーザーのログイン時に Web ブラウザがスマート カード証明書の送信を要求するよう、Platform Services Controller を設定します。

  2. 認証ポリシーを設定します。sso-config スクリプトまたは Platform Services Controller Web インターフェイスを使用して、ポリシーを設定できます。サポートされている認証タイプおよび失効の設定は VMware Directory Service に保存され、vCenter Single Sign-On ドメインのすべての Platform Services Controller インスタンスにわたってレプリケートされます。

スマート カード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマート カード認証を使用してログインする必要があります。

vSphere Web Client からのログインが機能しない場合、およびユーザー名とパスワードによる認証が無効な場合、root または管理者ユーザーは、 Platform Services Controller コマンド ラインから次のコマンドを実行することで、ユーザー名とパスワードによる認証を再度有効にできます。この例は Windows 向けのものです。Linux の場合は、sso-config.sh を使用します。

sso-config.bat -set_authn_policy -pwdAuthn true

手順

  1. 証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

    オプション

    説明

    Windows

    Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

    アプライアンス

    1. 直接または SSH を使用してアプライアンス コンソールにログインします。

    2. アプライアンス シェルを次のように有効にします。

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。

    4. 必要に応じて、アプライアンス シェルを次のように無効にします。

      chsh -s "bin/appliancesh" root
  2. Platform Services Controller ノードで sso-config CLI を使用して、スマート カード認証を設定します。
    1. sso-config スクリプトが配置されているディレクトリに移動します。

      オプション

      説明

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      アプライアンス

      /opt/vmware/bin

    2. 次のコマンドを実行します。
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      例:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local
      

      複数の証明書をコンマで区切って入力できますが、コンマの後にスペースは入れないでください。

    3. 仮想マシンまたは物理マシンを再起動します。
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Web ブラウザで次の URL を指定して Platform Services Controller に接続します。

    https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  4. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。

    インストール時に異なるドメインを指定した場合は、administrator@mydomain としてログインします。

  5. シングル サインオン > 構成 を参照します。
  6. スマート カードの構成 をクリックし、信頼できる CA 証明書 タブを選択します。
  7. 信頼できる証明書を 1 つ以上追加するには、証明書の追加 をクリックし、参照 をクリックします。次に信頼できる CA からのすべての証明書を選択し、OK をクリックします。
  8. 認証の構成を指定するには、認証の設定 の横にある 編集をクリックし、認証方法の選択または選択解除を行います。

    Web インターフェイスから、RSA SecurID 認証の有効と無効の切り替えはできません。ただし、RSA SecurID をコマンド ラインで有効にしている場合は、そのステータスが Web インターフェイスに表示されます。