Platform Services Controller Web インターフェイスを使用したスマートカード認証の管理

Platform Services Controller Web インターフェイスから、スマートカード認証の有効と無効の切り替え、ログインバナーのカスタマイズ、失効ポリシーの設定を行うことができます。

スマートカード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマートカード認証を使用してログインする必要があります。

ユーザー名とパスワードの認証が無効で、スマートカード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーは Platform Services Controller コマンドラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。


OS	コマンド
Windows	sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。
Linux	sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。

前提条件

導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller6.0 Update 2 は、スマートカード認証をサポートしますが、セットアップの手順が異なります。
エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
- ユーザープリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
- 証明書では、アプリケーションポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。
Platform Services ControllerWeb インターフェイスの証明書がエンドユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。
vCenter Single Sign-On に Active Directory ID ソースを追加します。
vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。
注： vCenter Single Sign-On ドメインの管理者（デフォルトは [email protected]）はスマートカード認証を実行できません。
リバースプロキシを設定し、物理マシンまたは仮想マシンを再起動します。

手順

証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。

オプション	説明
Windows	Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。
アプライアンス	直接または SSH を使用してアプライアンスコンソールにログインします。アプライアンスシェルを次のように有効にします。 shell chsh -s "/bin/bash" root csh -s "bin/appliance/sh" root WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。必要に応じて、アプライアンスシェルを次のように無効にします。 chsh -s "bin/appliancesh" root

オプション

説明

Windows

Platform Services Controller Windows 環境にログインし、WinSCP または類似のユーティリティを使用してファイルをコピーします。

アプライアンス

直接または SSH を使用してアプライアンスコンソールにログインします。
アプライアンスシェルを次のように有効にします。
```
shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
```
WinSCP または類似のユーティリティを使用して、証明書を Platform Services Controller 上の /usr/lib/vmware-sso/vmware-sts/conf にコピーします。
必要に応じて、アプライアンスシェルを次のように無効にします。
```
chsh -s "bin/appliancesh" root
```

Web ブラウザから vSphere Web Client または Platform Services Controller に接続します。

オプション	説明
vSphere Web Client	`https://vc_hostname_or_IP/vsphere-client`
Platform Services Controller	`https://psc_hostname_or_IP/psc` 組み込みで展開した場合は、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

[email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。

vCenter Single Sign-On の設定を行うユーザーインターフェイスに移動します。

オプション	説明
vSphere Web Client	[ホーム] メニューから [管理] を選択します。 [Single Sign-On] で、[構成] をクリックします。
Platform Services Controller	[Single Sign-On] で、[構成] をクリックします。

[スマートカードの構成] をクリックし、[信頼できる CA 証明書] タブを選択します。
信頼できる証明書を 1 つ以上追加するには、[証明書の追加] をクリックし、[参照] をクリックします。次に信頼できる CA からのすべての証明書を選択し、[OK] をクリックします。
認証の構成を指定するには、[認証の設定] の横にある [編集]をクリックし、認証方法の選択または選択解除を行います。
Web インターフェイスから、RSA SecurID 認証の有効と無効の切り替えはできません。ただし、RSA SecurID をコマンドラインで有効にしている場合は、そのステータスが Web インターフェイスに表示されます。

次のタスク

環境に、拡張 OCSP 構成が必要である場合があります。

OCSP 応答が、スマートカードの署名 CA とは異なる CA によって発行されている場合、OCSP による署名 CA 証明書を提供します。
複数サイトのデプロイでは、Platform Services Controller サイトごとに 1 つ以上のローカル OCSP レスポンダを構成できます。CLI を使用して、このような代替 OCSP レスポンダを構成できます。コマンドラインを使用したスマートカード認証の管理を参照してください。