사용자가 RSA SecurID 토큰을 사용하여 로그인하도록 환경을 설정할 수 있습니다. SecurID 설정은 명령줄에서만 지원됩니다.

이 태스크 정보

세부 정보는 RSA SecurID 설정에 관한 vSphere 블로그 게시물 두 개를 참조하십시오.

참고:

RSA Authentication Manager에서 사용자 ID는 1~255개 ASCII 문자를 사용하는 고유 식별자여야 합니다. 문자 앰퍼샌드(&), 백분율(%), 보다 큼(>), 보다 작음(<) 및 작은 따옴표(`)는 허용되지 않습니다.

필수 조건

  • 환경에서 Platform Services Controller 버전 6.5를 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.

  • 환경에 RSA Authentication Manager가 올바르게 구성되어 있고 사용자에게 RSA 토큰이 있는지 확인합니다. RSA Authentication Manager 버전 8.0 이상이 필요합니다.

  • RSA Manager가 사용하는 ID 소스가 vCenter Single Sign-On에 추가되었는지 확인합니다. vCenter Single Sign-On ID 소스 추가의 내용을 참조하십시오.

  • RSA Authentication Manager 시스템에서 Platform Services Controller 호스트 이름을 확인할 수 있고 Platform Services Controller 시스템에서 RSA Authentication Manager 호스트 이름을 확인할 수 있는지 확인합니다.

  • 액세스 > 인증 에이전트 > 구성 파일 생성을 선택하여 RSA Manager에서 sdconf.rec 파일을 내보냅니다. 생성된 AM_Config.zip 파일의 압축을 해제하고 sdconf.rec 파일을 찾습니다.

  • sdconf.rec 파일을 Platform Services Controller 노드에 복사합니다.

프로시저

  1. sso-config 스크립트가 있는 디렉토리로 변경합니다.

    옵션

    설명

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    장치

    /opt/vmware/bin

  2. RSA SecurID 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName은 vCenter Single Sign-On 도메인의 이름이며, 기본값은 vsphere.local입니다.

  3. (선택 사항) : 다른 인증 방법을 사용하지 않도록 설정하려면 다음 명령을 실행합니다.
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. 현재 사이트에 있는 테넌트가 RSA 사이트를 사용하도록 환경을 구성하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    예:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    다음 옵션을 지정할 수 있습니다.

    옵션

    설명

    siteID

    선택적 Platform Services Controller 사이트 ID. Platform Services Controller는 사이트당 RSA Authentication Manager 인스턴스 또는 클러스터를 하나 지원합니다. 이 옵션을 명시적으로 지정하지 않으면 RSA 구성은 현재 Platform Services Controller 사이트에 적용됩니다. 이 옵션은 다른 사이트를 추가할 때만 사용합니다.

    agentName

    RSA Authentication Manager에 정의됩니다.

    sdConfFile

    RSA Manager에서 다운로드한 sdconf.rec 파일의 사본이며, RSA Manager에 대한 구성 정보(예: IP 주소)를 포함합니다.

  5. (선택 사항) : 테넌트 구성을 기본값이 아닌 값으로 변경하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    일반적으로 기본값은 적절합니다. 예:

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (선택 사항) : ID 소스가 UPN(사용자 계정 이름)을 사용자 ID로 사용하지 않으면 ID 소스 userID 특성을 설정합니다.

    userID 특성은 RSA userID로 사용할 LDAP 특성을 결정합니다.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    예:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 현재 설정을 표시하려면 다음 명령을 실행합니다.
    sso-config.sh -t tenantName -get_rsa_config

결과

사용자 이름과 암호 인증이 사용되지 않도록 설정되어 있고 RSA 인증이 사용되도록 설정되어 있는 경우 사용자는 자신의 사용자 이름과 RSA 토큰으로 로그인해야 합니다. 사용자 이름과 암호 로그인은 더 이상 가능하지 않습니다.

참고:

사용자 이름 형식 userID@domainName 또는 userID@domain_upn_suffix를 사용합니다.