Platform Services Controller 웹 인터페이스에서는 스마트 카드 인증의 사용 여부를 설정하고, 로그인 배너를 사용자 지정하고, 해지 정책을 설정할 수 있습니다.

시작하기 전에

  • 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용 중인지 확인합니다. 버전 5.5 노드를 버전 6.0으로 업그레이드합니다.

  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.

    • SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당하는 UPN(사용자 계정 이름)이 있습니다.

    • 인증서의 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정하지 않으면 브라우저에 해당 인증서가 표시되지 않습니다.

  • 최종 사용자의 Workstation에서 Platform Services Controller 웹 인터페이스 인증서를 신뢰하는지 확인합니다. 신뢰하지 않는 인증서인 경우 브라우저는 인증을 시도하지 않습니다.

  • Active Directory ID 소스를 구성하여 vCenter Single Sign-On에 ID 소스로 추가합니다.

  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그러면 해당 사용자는 Active Directory 그룹에 속해 있고 vCenter Server 관리자 권한을 갖고 있으므로 인증할 수 있습니다. administrator@vsphere.local 사용자는 스마트 카드 인증을 수행할 수 없습니다.

  • 환경에서 Platform Services Controller HA 솔루션을 사용하려면 스마트 카드 인증을 설정하기 전에 모든 HA 구성을 완료해야 합니다. VMware 기술 자료 문서 2112085(Windows) 또는 2113315(vCenter Server Appliance)를 참조하십시오.

이 태스크 정보

명령줄에서 스마트 카드 인증을 구성할 때는 항상 sso-config 명령을 먼저 사용하여 Platform Services Controller를 설정합니다. 그런 다음 Platform Services Controller 웹 인터페이스를 사용하여 다른 작업을 수행할 수 있습니다.

  1. 사용자가 로그인할 때 웹 브라우저가 스마트 카드 인증서 제출을 요청하도록 Platform Services Controller를 구성합니다.

  2. 인증 정책을 구성합니다. 정책은 sso-config 스크립트 또는 Platform Services Controller 웹 인터페이스를 사용하여 구성할 수 있습니다. 지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 Platform Services Controller 인스턴스에 복제됩니다.

스마트 카드 인증을 제외한 다른 모든 인증 방법을 사용하지 않도록 설정한 경우 사용자는 스마트 카드 인증을 사용하여 로그인해야 합니다.

vSphere Web Client에서 로그인할 수 없고 사용자 이름 및 암호 인증 기능이 해제되어 있는 경우 루트 사용자 또는 관리자는 다음 명령을 실행하여 Platform Services Controller 명령줄에서 사용자 이름 및 암호 인증을 다시 사용하도록 설정할 수 있습니다. 이 예제는 Windows에 해당하는 명령이며, Linux의 경우 sso-config.sh 명령을 사용하십시오.

sso-config.bat -set_authn_policy -pwdAuthn true

프로시저

  1. 인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.

    옵션

    설명

    Windows

    Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.

    장치

    1. 장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.

    2. 다음과 같이 장치 셸을 사용하도록 설정합니다.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller/usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.

    4. 필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다.

      chsh -s "bin/appliancesh" root
  2. Platform Services Controller 노드에서 sso-config CLI를 사용하여 스마트 카드 인증 설정을 구성합니다.
    1. sso-config 스크립트가 있는 디렉토리로 이동합니다.

      옵션

      설명

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      장치

      /opt/vmware/bin

    2. 다음 명령을 실행합니다.
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      예:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local
      

      인증서가 여러 개인 경우 인증서를 쉼표로 구분하되 쉼표 사이에 공백을 사용하지 않습니다.

    3. 가상 시스템 또는 물리적 시스템을 다시 시작합니다.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. 웹 브라우저에서 다음 URL을 지정하여 Platform Services Controller에 연결합니다.

    https://psc_hostname_or_IP/psc

    내장된 배포에서 Platform Services Controller 호스트 이름 또는 IP 주소는 vCenter Server 호스트 이름 또는 IP 주소와 동일합니다.

  4. administrator@vsphere.local 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.

    설치 시 다른 도메인을 지정한 경우에는 administrator@mydomain으로 로그인합니다.

  5. Single Sign-On > 구성으로 이동합니다.
  6. 스마트 카드 구성을 클릭하고 신뢰할 수 있는 CA 인증서 탭을 선택합니다.
  7. 하나 이상의 신뢰할 수 있는 인증서를 추가하려면 인증서 추가를 클릭하고 찾아보기를 클릭하고 신뢰할 수 있는 CA에서 모든 인증서를 선택한 후 확인을 클릭합니다.
  8. 인증 구성을 지정하려면 인증 구성 옆의 편집을 클릭한 후 인증 방법을 선택하거나 선택 취소합니다.

    RSA SecurID 인증은 이 웹 인터페이스에서 사용하도록 설정하거나 사용하지 않도록 설정할 수 없습니다. 그러나 RSA SecurID를 사용하도록 명령줄에서 설정한 경우에는 해당 상태가 웹 인터페이스에 표시됩니다.