sso-config 유틸리티를 사용하면 명령줄에서 스마트 카드 인증을 구성할 수 있습니다. 이 유틸리티는 모든 스마트 카드 구성 작업을 지원합니다.

시작하기 전에

  • 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용 중인지 확인합니다. 버전 5.5 노드를 버전 6.0으로 업그레이드합니다.

  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.

    • SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당하는 UPN(사용자 계정 이름)이 있습니다.

    • 인증서의 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정하지 않으면 브라우저에 해당 인증서가 표시되지 않습니다.

  • 최종 사용자의 Workstation에서 Platform Services Controller 웹 인터페이스 인증서를 신뢰하는지 확인합니다. 신뢰하지 않는 인증서인 경우 브라우저는 인증을 시도하지 않습니다.

  • Active Directory ID 소스를 구성하여 vCenter Single Sign-On에 ID 소스로 추가합니다.

  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그러면 해당 사용자는 Active Directory 그룹에 속해 있고 vCenter Server 관리자 권한을 갖고 있으므로 인증할 수 있습니다. administrator@vsphere.local 사용자는 스마트 카드 인증을 수행할 수 없습니다.

  • 환경에서 Platform Services Controller HA 솔루션을 사용하려면 스마트 카드 인증을 설정하기 전에 모든 HA 구성을 완료해야 합니다. VMware 기술 자료 문서 2112085(Windows) 또는 2113315(vCenter Server Appliance)를 참조하십시오.

이 태스크 정보

명령줄에서 스마트 카드 인증을 구성할 때는 항상 sso-config 명령을 먼저 사용하여 Platform Services Controller를 설정합니다. 그런 다음 Platform Services Controller 웹 인터페이스를 사용하여 다른 작업을 수행할 수 있습니다.

  1. 사용자가 로그인할 때 웹 브라우저가 스마트 카드 인증서 제출을 요청하도록 Platform Services Controller를 구성합니다.

  2. 인증 정책을 구성합니다. 정책은 sso-config 스크립트 또는 Platform Services Controller 웹 인터페이스를 사용하여 구성할 수 있습니다. 지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 Platform Services Controller 인스턴스에 복제됩니다.

스마트 카드 인증을 제외한 다른 모든 인증 방법을 사용하지 않도록 설정한 경우 사용자는 스마트 카드 인증을 사용하여 로그인해야 합니다.

vSphere Web Client에서 로그인할 수 없고 사용자 이름 및 암호 인증 기능이 해제되어 있는 경우 루트 사용자 또는 관리자는 다음 명령을 실행하여 Platform Services Controller 명령줄에서 사용자 이름 및 암호 인증을 다시 사용하도록 설정할 수 있습니다. 이 예제는 Windows에 해당하는 명령이며, Linux의 경우 sso-config.sh 명령을 사용하십시오.

sso-config.bat -set_authn_policy -pwdAuthn true

다음 위치에서 sso-config 스크립트를 찾을 수 있습니다.

Windows

C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

프로시저

  1. 인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.

    옵션

    설명

    Windows

    Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.

    장치

    1. 장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.

    2. 다음과 같이 장치 셸을 사용하도록 설정합니다.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller/usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.

    4. 필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다.

      chsh -s "bin/appliancesh" root
  2. Platform Services Controller 노드에서 sso-config CLI를 사용하여 스마트 카드 인증 설정을 구성합니다.
    1. sso-config 스크립트가 있는 디렉토리로 이동합니다.

      옵션

      설명

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      장치

      /opt/vmware/bin

    2. 다음 명령을 실행합니다.
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      예:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local
      
    3. 가상 시스템 또는 물리적 시스템을 다시 시작합니다.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. VMDIR(VMware Directory Service)에 대해 스마트 카드 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    예:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    여러 인증서를 지정하는 경우 인증서 사이에 공백을 사용할 수 없습니다.

  4. 다른 모든 인증 방법을 사용하지 않도록 설정하려면 다음 명령을 실행합니다.
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

    이러한 명령을 사용하면 필요에 따라 여러 인증 방법을 사용하거나 사용하지 않도록 설정할 수 있습니다.

  5. (선택 사항) : 인증서 정책 허용 목록을 설정하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    정책을 여러 개 지정하려면 다음과 같이 각 정책을 명령으로 구분합니다.

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    이 허용 목록은 인증서의 인증서 정책 확장에서 허용되는 정책의 개체 ID를 지정합니다. X509 인증서는 인증서 정책 확장을 가질 수 있습니다.

  6. (선택 사항) : 구성 정보를 나열하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -get_authn_policy -t tenantName