Platform Services Controller 웹 인터페이스에서는 스마트 카드 인증의 사용 여부를 설정하고, 로그인 배너를 사용자 지정하고, 해지 정책을 설정할 수 있습니다.

이 태스크 정보

스마트 카드 인증을 제외한 다른 모든 인증 방법을 사용하지 않도록 설정한 경우 사용자는 스마트 카드 인증을 사용하여 로그인해야 합니다.

사용자 이름 및 암호 인증이 사용되지 않도록 설정된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가 Platform Services Controller 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 사용하도록 설정합니다.

운영 체제

명령

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

필수 조건

  • 환경에서 Platform Services Controller 버전 6.5를 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.

  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.

    • UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.

    • 인증서가 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.

  • Platform Services Controller 웹 인터페이스 인증서가 최종 사용자의 워크스테이션에서 신뢰하는지 확인합니다. 그렇지 않으면 브라우저가 인증을 시도하지 않습니다.

  • vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.

  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.

    참고:

    기본적으로 vCenter Single Sign-On 도메인의 관리자인 administrator@vsphere.local은 스마트 카드 인증을 수행할 수 없습니다.

  • 역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작합니다.

프로시저

  1. 인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.

    옵션

    설명

    Windows

    Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.

    장치

    1. 장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.

    2. 다음과 같이 장치 셸을 사용하도록 설정합니다.

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller/usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.

    4. 필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다.

      chsh -s "bin/appliancesh" root
  2. 웹 브라우저에서 vSphere Web Client 또는 Platform Services Controller에 연결합니다.

    옵션

    설명

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    내장된 배포에서 Platform Services Controller 호스트 이름 또는 IP 주소는 vCenter Server 호스트 이름 또는 IP 주소와 동일합니다.

  3. administrator@vsphere.local 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.

    설치 시 다른 도메인을 지정한 경우에는 administrator@mydomain으로 로그인합니다.

  4. vCenter Single Sign-On 구성 UI로 이동합니다.

    옵션

    설명

    vSphere Web Client

    1. 메뉴에서 관리를 선택합니다.

    2. Single Sign-On에서 구성을 클릭합니다.

    Platform Services Controller

    Single Sign-On을 클릭하고 구성을 클릭합니다.

  5. 스마트 카드 구성을 클릭하고 신뢰할 수 있는 CA 인증서 탭을 선택합니다.
  6. 하나 이상의 신뢰할 수 있는 인증서를 추가하려면 인증서 추가를 클릭하고 찾아보기를 클릭하고 신뢰할 수 있는 CA에서 모든 인증서를 선택한 후 확인을 클릭합니다.
  7. 인증 구성을 지정하려면 인증 구성 옆의 편집을 클릭한 후 인증 방법을 선택하거나 선택 취소합니다.

    RSA SecurID 인증은 이 웹 인터페이스에서 사용하도록 설정하거나 사용하지 않도록 설정할 수 없습니다. 그러나 RSA SecurID를 사용하도록 명령줄에서 설정한 경우에는 해당 상태가 웹 인터페이스에 표시됩니다.

다음에 수행할 작업

환경에 향상된 OCSP 구성이 필요할 수 있습니다.

  • OCSP 응답이 스마트 카드의 서명 CA와 다른 CA에 의해 발급된 경우 OCSP 서명 CA 인증서를 제공합니다.

  • 다중 사이트 배포 환경에서 각 Platform Services Controller 사이트에 대한 하나 이상의 로컬 OCSP 응답자를 구성할 수 있습니다. CLI를 사용하여 이러한 대체 OCSP 응답자를 구성할 수 있습니다. 명령줄을 사용하여 스마트 카드 인증 관리를 참조하십시오.