Platform Services Controller Web インターフェイスから、スマート カード認証の有効と無効の切り替え、ログイン バナーのカスタマイズ、失効ポリシーの設定を行うことができます。

このタスクについて

スマート カード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマート カード認証を使用してログインする必要があります。

ユーザー名とパスワードの認証が無効で、スマート カード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーはPlatform Services Controllerコマンド ラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。

OS

コマンド

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

前提条件

  • 導入環境内で Platform Services Controllerバージョン 6.5 およびvCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controllerバージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。

    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。

    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • Platform Services ControllerWeb インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。

  • vCenter Single Sign-On に Active Directory ID ソースを追加します。

  • vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server管理者権限を保有しているので、管理タスクを実行できます。

    注:

    vCenter Single Sign-On ドメインの管理者(デフォルトは administrator@vsphere.local)はスマート カード認証を実行できません。

  • リバース プロキシを設定し、物理マシンまたは仮想マシンを再起動します。

手順

  1. 証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

    オプション

    説明

    Windows

    Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

    アプライアンス

    1. 直接または SSH を使用してアプライアンス コンソールにログインします。

    2. アプライアンス シェルを次のように有効にします。

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。

    4. 必要に応じて、アプライアンス シェルを次のように無効にします。

      chsh -s "bin/appliancesh" root
  2. Web ブラウザから vSphere Web Clientまたは Platform Services Controller に接続します。

    オプション

    説明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controllerのホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  3. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。

    インストール時に異なるドメインを指定した場合は、administrator@mydomain としてログインします。

  4. vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。

    オプション

    説明

    vSphere Web Client

    1. ホーム メニューから 管理 を選択します。

    2. Single Sign-On で、構成 をクリックします。

    Platform Services Controller

    Single Sign-On で、構成 をクリックします。

  5. スマート カードの構成 をクリックし、信頼できる CA 証明書 タブを選択します。
  6. 信頼できる証明書を 1 つ以上追加するには、証明書の追加 をクリックし、参照 をクリックします。次に信頼できる CA からのすべての証明書を選択し、OK をクリックします。
  7. 認証の構成を指定するには、認証の設定 の横にある 編集をクリックし、認証方法の選択または選択解除を行います。

    Web インターフェイスから、RSA SecurID 認証の有効と無効の切り替えはできません。ただし、RSA SecurID をコマンド ラインで有効にしている場合は、そのステータスが Web インターフェイスに表示されます。

次のタスク

環境に、拡張 OCSP 構成が必要である場合があります。

  • OCSP 応答が、スマート カードの署名 CA とは異なる CA によって発行されている場合、OCSP による署名 CA 証明書を提供します。

  • 複数サイトのデプロイでは、Platform Services Controller サイトごとに 1 つ以上のローカル OCSP レスポンダを構成できます。CLI を使用して、このような代替 OCSP レスポンダを構成できます。コマンド ラインを使用したスマート カード認証の管理を参照してください。