vSphere Client から、スマート カード認証の有効と無効の切り替え、ログイン バナーのカスタマイズ、失効ポリシーの設定を行うことができます。

スマート カード認証が有効で、その他の認証方法が無効な場合、ユーザーはスマート カード認証を使用してログインする必要があります。

ユーザー名とパスワードの認証が無効で、スマート カード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーは vCenter Server コマンド ラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

前提条件

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。

    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • vCenter Single Sign-On に Active Directory ID ソースを追加します。
  • vCenter Server 管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。
  • リバース プロキシを設定し、物理マシンまたは仮想マシンを再起動していることを確認します。

手順

  1. 証明書を取得し、sso-config ユーティリティで表示可能なフォルダにその証明書をコピーします。
    1. 直接または SSH を使用して vCenter Server コンソールにログインします。
    2. シェルを次のように有効にします。 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. WinSCP または類似のユーティリティを使用して、証明書を vCenter Server 上の /usr/lib/vmware-sso/vmware-sts/conf ディレクトリにコピーします。
    4. 必要に応じて、アプライアンス シェルを次のように無効にします。 
      chsh -s "/bin/appliancesh" root
  2. vSphere Client を使用して vCenter Server にログインします。
  3. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  4. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  5. [ID プロバイダ] タブで [スマート カード認証] をクリックし、[編集] をクリックします。
  6. 認証方法を選択するか、または選択を解除して、[保存] をクリックします。
    スマート カード認証を単独で選択するか、スマート カード認容とパスワードおよび Windows セッション認証を両方選択することができます。
    Web インターフェイスから、RSA SecurID 認証の有効と無効の切り替えはできません。ただし、RSA SecurID をコマンド ラインで有効にしている場合は、そのステータスが Web インターフェイスに表示されます。
    [信頼できる CA 証明書] が表示されます。
  7. [信頼できる CA 証明書] タブで [追加] をクリックし、[参照] をクリックします。
  8. 信頼できる認証局 (CA) からの証明書をすべて選択して、[追加] をクリックします。

次のタスク

環境に、拡張 OCSP 構成が必要である場合があります。
  • OCSP 応答が、スマート カードの署名 CA とは異なる CA によって発行されている場合、OCSP による署名 CA 証明書を提供します。
  • 複数サイトのデプロイでは、vCenter Server サイトごとに 1 つ以上のローカル OCSP レスポンダを構成できます。CLI を使用して、このような代替 OCSP レスポンダを構成できます。コマンド ラインを使用したスマート カード認証の管理を参照してください。