RSA SecurID トークンを使用したログインをユーザーに要求するように環境を設定できます。SecurID の設定はコマンド ラインからのみサポートされています。

このタスクについて

詳細については、RSA SecurID の設定に関する 2 つの vSphere ブログ投稿を参照してください。

注:

RSA 認証マネージャでは、ユーザー ID が ASCII 文字(1 ~ 255 文字)を使用する一意の識別子である必要があります。アンパサンド (&)、パーセント (%)、より大きい (>)、より小さい (<)、一重引用符 (`) の文字は使用できません。

前提条件

  • 導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller バージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。

  • 環境内に正しく構成された RSA 認証マネージャが配備され、ユーザーに RSA トークンが提供されていることを確認します。RSA 認証マネージャのバージョン 8.0 以降が必要です。

  • RSA マネージャが使用するアイデンティティ ソースが、vCenter Single Sign-On に追加されていることを確認します。vCenter Single Sign-On アイデンティティ ソースの追加を参照してください。

  • RSA 認証マネージャのシステムが Platform Services Controller ホスト名を解決でき、Platform Services Controller システムが RSA 認証マネージャのホスト名を解決できることを確認します。

  • アクセス > 認証エージェント > 構成ファイルを生成 を選択して、sdconf.rec ファイルを RSA マネージャからエクスポートします。生成された AM_Config.zip ファイルを解凍し、sdconf.rec ファイルを見つけます。

  • sdconf.rec ファイルを Platform Services Controller ノードにコピーします。

手順

  1. sso-config スクリプトが配置されているディレクトリに移動します。

    オプション

    説明

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    アプライアンス

    /opt/vmware/bin

  2. RSA SecureID 認証を有効にするには、次のコマンドを実行します。
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName は、vCenter Single Sign-On ドメインの名前であり、デフォルトで vsphere.local になっています。

  3. (オプション) : その他の認証方法を無効にするには、次のコマンドを実行します。
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. クライアント サイトのテナントが RSA サイトを使用するように環境を設定するには、次のコマンドを実行します。
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    例:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    次のオプションを指定できます。

    オプション

    説明

    siteID

    オプションの Platform Services Controller サイト ID。Platform Services Controller は、サイトあたり 1 つの RSA 認証マネージャ インスタンスまたはクラスタをサポートします。このオプションを明示的に指定しない場合、RSA 設定は現在の Platform Services Controller サイトの設定用になります。このオプションは、異なるサイトを追加する場合にのみ使用します。

    agentName

    RSA 認証マネージャ内で定義されます。

    sdConfFile

    sdconf.rec ファイルのコピーであり、RSA マネージャからダウンロードされたもので、IP アドレスなどの設定情報を含んでいます。

  5. (オプション) : テナント構成をデフォルト以外の値に変更するには、次のコマンドを実行します。
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    通常、デフォルト値が適切です。次に例を示します。

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (オプション) : アイデンティティ ソースでユーザー プリンシパル名がユーザー ID として使用されていない場合、アイデンティティ ソースの userID 属性を設定します。

    この userID 属性により、RSA userID として使用される LDAP 属性が決定されます。

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    例:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 現在の設定を表示するには、次のコマンドを実行します。
    sso-config.sh -t tenantName -get_rsa_config

タスクの結果

ユーザー名とパスワードによる認証が無効で、RSA 認証が有効な場合、ユーザーはユーザー名と RSA トークンを使用してログインする必要があります。ユーザー名とパスワードでのログインはできません。

注:

ユーザー名の形式は、userID@domainName または userID@domain_upn_suffix です。