RSA SecurID トークンを使用したログインをユーザーに要求するように環境を設定できます。SecurID の設定はコマンド ラインからのみサポートされています。

詳細については、RSA SecurID の設定に関する 2 つの vSphere ブログ投稿を参照してください。

注: RSA 認証マネージャでは、ユーザー ID が ASCII 文字(1 ~ 255 文字)を使用する一意の識別子である必要があります。アンパサンド (&)、パーセント (%)、より大きい (>)、より小さい (<)、一重引用符 (`) の文字は使用できません。

前提条件

  • 導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。
  • 環境内に正しく構成された RSA 認証マネージャが配備され、ユーザーに RSA トークンが提供されていることを確認します。RSA 認証マネージャのバージョン 8.0 以降が必要です。
  • RSA マネージャが使用するアイデンティティ ソースが、vCenter Single Sign-On に追加されていることを確認します。vCenter Single Sign-Onアイデンティティ ソースの追加を参照してください。
  • RSA 認証マネージャのシステムが Platform Services Controller ホスト名を解決でき、Platform Services Controller システムが RSA 認証マネージャのホスト名を解決できることを確認します。
  • [アクセス] > [認証エージェント] > [構成ファイルを生成] を選択して、sdconf.rec ファイルを RSA マネージャからエクスポートします。生成された AM_Config.zip ファイルを解凍し、sdconf.rec ファイルを見つけます。
  • sdconf.rec ファイルを Platform Services Controller ノードにコピーします。

手順

  1. sso-config スクリプトが配置されているディレクトリに移動します。
    オプション 説明
    Windows C:\Program Files\VMware\VCenter server\VMware Identity Services
    アプライアンス /opt/vmware/bin
  2. RSA SecureID 認証を有効にするには、次のコマンドを実行します。
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true
    tenantName は、vCenter Single Sign-On ドメインの名前であり、デフォルトで vsphere.local になっています。
  3. (オプション) その他の認証方法を無効にするには、次のコマンドを実行します。
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. クライアント サイトのテナントが RSA サイトを使用するように環境を設定するには、次のコマンドを実行します。
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    
    例:
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    
    次のオプションを指定できます。
    オプション 説明
    siteID オプションの Platform Services Controller サイト ID。Platform Services Controller は、サイトあたり 1 つの RSA 認証マネージャ インスタンスまたはクラスタをサポートします。このオプションを明示的に指定しない場合、RSA 設定は現在の Platform Services Controller サイトの設定用になります。このオプションは、異なるサイトを追加する場合にのみ使用します。
    agentName RSA 認証マネージャ内で定義されます。
    sdConfFile sdconf.rec ファイルのコピーであり、RSA マネージャからダウンロードされたもので、IP アドレスなどの設定情報を含んでいます。
  5. (オプション) テナント構成をデフォルト以外の値に変更するには、次のコマンドを実行します。
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    
    通常、デフォルト値が適切です。次に例を示します。
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (オプション) アイデンティティ ソースでユーザー プリンシパル名がユーザー ID として使用されていない場合、アイデンティティ ソースの userID 属性を設定します。

    この userID 属性により、RSA userID として使用される LDAP 属性が決定されます。

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    例:
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 現在の設定を表示するには、次のコマンドを実行します。
    sso-config.sh -t tenantName -get_rsa_config

結果

ユーザー名とパスワードによる認証が無効で、RSA 認証が有効な場合、ユーザーはユーザー名と RSA トークンを使用してログインする必要があります。ユーザー名とパスワードでのログインはできません。

注: ユーザー名の形式は、 userID@domainName または userID@domain_upn_suffix です。