コマンドラインを使用したスマートカード認証の管理

sso-config ユーティリティを使用して、コマンドラインからスマートカード認証を管理できます。このユーティリティは、すべてのスマートカード設定タスクをサポートしています。

sso-config スクリプトは次の場所にあります。

Windows	C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat
Linux	/opt/vmware/bin/sso-config.sh

サポートされる認証タイプおよび失効の設定は VMware Directory Service に保存され、vCenter Single Sign-On ドメインのすべての Platform Services Controller インスタンスにわたって複製されます。

ユーザー名とパスワードの認証が無効で、スマートカード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーは Platform Services Controller コマンドラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。


OS	コマンド
Windows	sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。
Linux	sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

失効確認のために OCSP を使用する場合は、スマートカード証明書 AIA 拡張機能に指定されたデフォルトの OCSP を使用できます。1 つ以上の代替 OCSP レスポンダを設定して、デフォルトをオーバーライドすることもできます。たとえば、vCenter Single Sign-On サイトに対してローカルの OCSP レスポンダを設定して、失効確認要求を処理できます。

注：証明書に OCSP が定義されていない場合は、代わりに CRL（証明書失効リスト）を有効にします。

前提条件

導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller6.0 Update 2 は、スマートカード認証をサポートしますが、セットアップの手順が異なります。
エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
- ユーザープリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
- 証明書では、アプリケーションポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。
Platform Services ControllerWeb インターフェイスの証明書がエンドユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。
vCenter Single Sign-On に Active Directory ID ソースを追加します。
vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。
注： vCenter Single Sign-On ドメインの管理者（デフォルトは [email protected]）はスマートカード認証を実行できません。
リバースプロキシを設定し、物理マシンまたは仮想マシンを再起動します。

手順

証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

オプション	説明
Windows	Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。
アプライアンス	直接または SSH を使用してアプライアンスコンソールにログインします。アプライアンスシェルを次のように有効にします。 shell chsh -s "/bin/bash" root WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。必要に応じて、アプライアンスシェルを次のように無効にします。 chsh -s "/bin/appliancesh" root

オプション

説明

Windows

Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

アプライアンス

直接または SSH を使用してアプライアンスコンソールにログインします。
アプライアンスシェルを次のように有効にします。
```
shell
chsh -s "/bin/bash" root
```
WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。
必要に応じて、アプライアンスシェルを次のように無効にします。
```
chsh -s "/bin/appliancesh" root
```

VMware Directory Service (vmdir) のスマートカード認証を有効にするには、次のコマンドを実行します。
```
sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
```
例：
```
sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
```
複数の証明書をコンマで区切って入力できますが、コンマの後にスペースは入れないでください。

他の認証方法をすべて無効にするには、次のコマンドを実行します。

sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

（オプション） 証明書ポリシーの許可リストを設定するには、次のコマンドを実行します。
```
sso-config.[bat|sh] -set_authn_policy -certPolicies policies
```
複数のポリシーを指定するには、次のようにコンマでポリシーを区切ります。
```
sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
```
この許可リストには、証明書の証明書ポリシー拡張で許可されているポリシーのオブジェクト ID を指定します。X509 証明書では、証明書ポリシー拡張を使用できます。
（オプション） OCSP を使用して失効確認を有効にし、設定します。
1. OCSP を使用して失効確認を有効にします。
```
sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
```
2. 証明書の AIA 拡張機能によって OCSP レスポンダのリンクが提供されていない場合、オーバーライドする OCSP レスポンダ URL と OCSP 認証局証明書を指定します。
  各 vCenter Single Sign-On サイトには代替の OCSP が設定されます。vCenter Single Sign-On サイトに対して 1 つ以上の代替 OCSP レスポンダを指定し、フェイルオーバーを使用することができます。
```
sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
```
  注：この設定は、デフォルトで現在の vCenter Single Sign-On サイトに適用されます。他の vCenter Single Sign-On サイトに対して代替 OCSP を設定する場合にのみ、 siteID パラメータを指定します。
  次の例を想定します。
```
 .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
```
3. 現在の代替 OCSP レスポンダ設定を表示するには、次のコマンドを実行します。
```
sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
```
4. 現在の代替 OCSP レスポンダ設定を削除するには、次のコマンドを実行します。
```
sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
```
（オプション） 設定情報をリストで表示するには、次のコマンドを実行します。
```
sso-config.[bat|sh] -get_authn_policy -t tenantName
```