Platform Services Controller Web インターフェイスから、スマート カード認証の有効と無効の切り替え、ログイン バナーのカスタマイズ、失効ポリシーの設定を行うことができます。

このタスクについて

スマート カード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマート カード認証を使用してログインする必要があります。

ユーザー名とパスワードの認証が無効で、スマート カード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーはPlatform Services Controller コマンド ラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。

OS

コマンド

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

前提条件

  • 導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller バージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。

    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。

    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • Platform Services Controller Web インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。

  • vCenter Single Sign-On に Active Directory アイデンティティ ソースを追加します。

  • vCenter Server 管理者ロールを、Active Directory アイデンティティ ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。

    注:

    vCenter Single Sign-On ドメインの管理者(デフォルトは administrator@vsphere.local)はスマート カード認証を実行できません。

  • リバース プロキシを設定し、物理マシンまたは仮想マシンを再起動します。

手順

  1. 証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

    オプション

    説明

    Windows

    Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

    アプライアンス

    1. 直接または SSH を使用してアプライアンス コンソールにログインします。

    2. アプライアンス シェルを次のように有効にします。

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。

    4. 必要に応じて、アプライアンス シェルを次のように無効にします。

      chsh -s "bin/appliancesh" root
  2. Web ブラウザから vSphere Web Client または Platform Services Controller に接続します。

    オプション

    説明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  3. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。

    インストール時に異なるドメインを指定した場合は、administrator@mydomain としてログインします。

  4. vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。

    オプション

    説明

    vSphere Web Client

    1. ホーム メニューから 管理 を選択します。

    2. シングル サインオン で、構成 をクリックします。

    Platform Services Controller

    シングル サインオン で、構成 をクリックします。

  5. スマート カードの構成 をクリックし、信頼できる CA 証明書 タブを選択します。
  6. 信頼できる証明書を 1 つ以上追加するには、証明書の追加 をクリックし、参照 をクリックします。次に信頼できる CA からのすべての証明書を選択し、OK をクリックします。
  7. 認証の構成を指定するには、認証の設定 の横にある 編集をクリックし、認証方法の選択または選択解除を行います。

    Web インターフェイスから、RSA SecurID 認証の有効と無効の切り替えはできません。ただし、RSA SecurID をコマンド ラインで有効にしている場合は、そのステータスが Web インターフェイスに表示されます。

次のタスク

環境に、拡張 OCSP 構成が必要である場合があります。

  • OCSP 応答が、スマート カードの署名 CA とは異なる CA によって発行されている場合、OCSP による署名 CA 証明書を提供します。

  • 複数サイトのデプロイでは、Platform Services Controller サイトごとに 1 つ以上のローカル OCSP レスポンダを構成できます。CLI を使用して、このような代替 OCSP レスポンダを構成できます。コマンド ラインを使用したスマート カード認証の管理を参照してください。