sso-config ユーティリティを使用して、コマンド ラインからスマート カード認証を管理できます。このユーティリティは、すべてのスマート カード設定タスクをサポートしています。
sso-config スクリプトは次の場所にあります。
Windows | C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat |
Linux | /opt/vmware/bin/sso-config.sh |
サポートされる認証タイプおよび失効の設定は VMware Directory Service に保存され、vCenter Single Sign-On ドメインのすべての Platform Services Controllerインスタンスにわたって複製されます。
ユーザー名とパスワードの認証が無効で、スマート カード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーは
Platform Services Controllerコマンド ラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。
OS | コマンド |
---|---|
Windows | sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。 |
Linux | sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> デフォルトのテナントを使用する場合は、テナント名として vsphere.local を使用します。 |
失効確認のために OCSP を使用する場合は、スマート カード証明書 AIA 拡張機能に指定されたデフォルトの OCSP を使用できます。1 つ以上の代替 OCSP レスポンダを設定して、デフォルトをオーバーライドすることもできます。たとえば、vCenter Single Sign-On サイトに対してローカルの OCSP レスポンダを設定して、失効確認要求を処理できます。
注: 証明書に OCSP が定義されていない場合は、代わりに CRL(証明書失効リスト)を有効にします。
前提条件
- 導入環境内で Platform Services Controller バージョン 6.5 以降および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller バージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。
- エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
- ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。
- Platform Services Controller の証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証を試行しません。
- vCenter Single Sign-On に Active Directory ID ソースを追加します。
- vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server管理者権限を保有しているので、管理タスクを実行できます。
注: vCenter Single Sign-On ドメインの管理者(デフォルトは [email protected])はスマート カード認証を実行できません。
- リバース プロキシを設定し、物理マシンまたは仮想マシンを再起動します。