vSphere Client から、スマート カード認証のアクティベーションとアクティベーション解除の切り替え、ログイン バナーのカスタマイズ、失効ポリシーの設定を行うことができます。
スマート カード認証が有効で、他の認証方法が無効になっている場合、ユーザーはスマート カード認証を使用してログインする必要があります。
ユーザー名とパスワードの認証が無効で、スマート カード認証に問題が発生した場合、ユーザーはログインできません。その場合、root ユーザーまたは管理者ユーザーは
vCenter Server コマンド ラインを使用して、ユーザー名とパスワードの認証を有効にできます。次のコマンドで、ユーザー名とパスワードの認証を有効にします。
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
前提条件
- エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
- ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
-
証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。
- vCenter Single Sign-On に Active Directory ID ソースを追加します。
- vCenter Server 管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。
- リバース プロキシを設定し、物理マシンまたは仮想マシンを再起動していることを確認します。
手順
次のタスク
環境に、拡張 OCSP 構成が必要である場合があります。
- OCSP 応答が、スマート カードの署名 CA とは異なる CA によって発行されている場合、OCSP による署名 CA 証明書を提供します。
- 複数サイトのデプロイでは、vCenter Server サイトごとに 1 つ以上のローカル OCSP レスポンダを構成できます。CLI を使用して、このような代替 OCSP レスポンダを構成できます。CLI を使用したスマート カード認証の管理を参照してください。