sso-config 유틸리티를 사용하면 명령줄에서 스마트 카드 인증을 관리할 수 있습니다. 이 유틸리티는 모든 스마트 카드 구성 작업을 지원합니다.

다음 위치에서 sso-config 스크립트를 찾을 수 있습니다.
Windows C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat
Linux /opt/vmware/bin/sso-config.sh

지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 Platform Services Controller 인스턴스에 복제됩니다.

사용자 이름 및 암호 인증이 사용되지 않도록 설정된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가 Platform Services Controller 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 사용하도록 설정합니다.
운영 체제 명령
Windows
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

Linux
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

해지 확인에 OCSP를 사용하는 경우 스마트 카드 인증서 AIA 확장에 지정된 기본 OCSP에 의존할 수 있습니다. 기본값을 재정의하고 하나 이상의 대체 OCSP 응답자를 구성할 수도 있습니다. 예를 들어 vCenter Single Sign-On 사이트에 대해 로컬인 OCSP 응답자를 설정하여 해지 확인 요청을 처리할 수 있습니다.

참고: 인증서에 OCSP가 정의되어 있지 않은 경우 대신 CRL(인증서 해지 목록)을 사용하도록 설정합니다.

사전 요구 사항

  • 환경에서 Platform Services Controller 버전 6.5 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.
  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
    • UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
    • 인증서가 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.

  • 최종 사용자의 워크스테이션에서 Platform Services Controller 인증서를 신뢰하는지 확인합니다. 신뢰하지 않으면 브라우저가 인증을 시도하지 않습니다.
  • vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
    참고: 기본적으로 vCenter Single Sign-On 도메인의 관리자인 [email protected]은 스마트 카드 인증을 수행할 수 없습니다.
  • 역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작합니다.

프로시저

  1. 인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.
    옵션 설명
    Windows Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.
    장치
    1. 장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.
    2. 다음과 같이 장치 셸을 사용하도록 설정합니다.
      shell
      chsh -s "/bin/bash" root
    3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller/usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.
    4. 필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다.
      chsh -s "/bin/appliancesh" root
  2. VMDIR(VMware Directory Service)에 대해 스마트 카드 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    
    예:
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    
    인증서가 여러 개인 경우 인증서를 쉼표로 구분하되 쉼표 사이에 공백을 사용하지 않습니다.
  3. 다른 모든 인증 방법을 사용하지 않도록 설정하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (선택 사항) 인증서 정책 허용 목록을 설정하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies
    정책을 여러 개 지정하려면 다음과 같이 각 정책을 쉼표로 구분합니다.
    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    이 허용 목록은 인증서의 인증서 정책 확장에서 허용되는 정책의 개체 ID를 지정합니다. X509 인증서는 인증서 정책 확장을 가질 수 있습니다.
  5. (선택 사항) OCSP를 사용하여 해지 확인을 설정 및 구성합니다.
    1. OCSP를 사용하여 해지 확인을 설정합니다.
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. OCSP 응답자 링크가 인증서의 AIA 확장을 통해 제공되지 않는 경우 재정의하는 OCSP 응답자 URL 및 OCSP 기관 인증서를 제공합니다.
      대체 OCSP는 각 vCenter Single Sign-On 사이트에 대해 구성됩니다. 페일오버를 허용할 vCenter Single Sign-On 사이트에 대한 2개 이상의 대체 OCSP 응답자를 지정할 수 있습니다.
      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      참고: 구성은 기본적으로 현재 vCenter Single Sign-On 사이트에 적용됩니다. 기타 vCenter Single Sign-On 사이트에 대한 대체 OCSP를 구성하는 경우에만 siteID 매개 변수를 지정합니다.

      다음 예를 고려하십시오.

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP responder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. 현재 대체 OCSP 응답자 설정을 표시하려면 이 명령을 실행합니다.
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
      
    4. 현재 대체 OCSP 응답자 설정을 제거하려면 이 명령을 실행합니다.
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (선택 사항) 구성 정보를 나열하려면 다음 명령을 실행합니다.
    sso-config.[bat|sh] -get_authn_policy -t tenantName