명령줄을 사용하여 스마트 카드 인증 관리

sso-config 유틸리티를 사용하면 명령줄에서 스마트 카드 인증을 관리할 수 있습니다. 이 유틸리티는 모든 스마트 카드 구성 작업을 지원합니다.

다음 위치에서 sso-config 스크립트를 찾을 수 있습니다.

Windows	C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat
Linux	/opt/vmware/bin/sso-config.sh

지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 Platform Services Controller 인스턴스에 복제됩니다.

사용자 이름 및 암호 인증이 사용되지 않도록 설정된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가 Platform Services Controller 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 사용하도록 설정합니다.


운영 체제	명령
Windows	sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> 기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.
Linux	sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> 기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

해지 확인에 OCSP를 사용하는 경우 스마트 카드 인증서 AIA 확장에 지정된 기본 OCSP에 의존할 수 있습니다. 기본값을 재정의하고 하나 이상의 대체 OCSP 응답자를 구성할 수도 있습니다. 예를 들어 vCenter Single Sign-On 사이트에 대해 로컬인 OCSP 응답자를 설정하여 해지 확인 요청을 처리할 수 있습니다.

참고: 인증서에 OCSP가 정의되어 있지 않은 경우 대신 CRL(인증서 해지 목록)을 사용하도록 설정합니다.

사전 요구 사항

환경에서 Platform Services Controller 버전 6.5 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.
환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
- UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
- 인증서가 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.
최종 사용자의 워크스테이션에서 Platform Services Controller 인증서를 신뢰하는지 확인합니다. 신뢰하지 않으면 브라우저가 인증을 시도하지 않습니다.
vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
참고: 기본적으로 vCenter Single Sign-On 도메인의 관리자인 [email protected]은 스마트 카드 인증을 수행할 수 없습니다.
역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작합니다.

프로시저

인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.

옵션	설명
Windows	Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.
장치	장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다. 다음과 같이 장치 셸을 사용하도록 설정합니다. shell chsh -s "/bin/bash" root WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller의 /usr/lib/vmware-sso/vmware-sts/conf에 복사합니다. 필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다. chsh -s "/bin/appliancesh" root

옵션

설명

Windows

Platform Services Controller Windows 설치 환경에 로그인한 후 WinSCP 또는 유사한 유틸리티를 사용하여 파일을 복사합니다.

장치

장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.
다음과 같이 장치 셸을 사용하도록 설정합니다.
```
shell
chsh -s "/bin/bash" root
```
WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 Platform Services Controller의 /usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.
필요한 경우 다음과 같이 장치 셸을 사용하지 않도록 설정합니다.
```
chsh -s "/bin/appliancesh" root
```

VMDIR(VMware Directory Service)에 대해 스마트 카드 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.
```
sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
```
예:
```
sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
```
인증서가 여러 개인 경우 인증서를 쉼표로 구분하되 쉼표 사이에 공백을 사용하지 않습니다.

다른 모든 인증 방법을 사용하지 않도록 설정하려면 다음 명령을 실행합니다.

sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

(선택 사항) 인증서 정책 허용 목록을 설정하려면 다음 명령을 실행합니다.
```
sso-config.[bat|sh] -set_authn_policy -certPolicies policies
```
정책을 여러 개 지정하려면 다음과 같이 각 정책을 쉼표로 구분합니다.
```
sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
```
이 허용 목록은 인증서의 인증서 정책 확장에서 허용되는 정책의 개체 ID를 지정합니다. X509 인증서는 인증서 정책 확장을 가질 수 있습니다.
(선택 사항) OCSP를 사용하여 해지 확인을 설정 및 구성합니다.
1. OCSP를 사용하여 해지 확인을 설정합니다.
```
sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
```
2. OCSP 응답자 링크가 인증서의 AIA 확장을 통해 제공되지 않는 경우 재정의하는 OCSP 응답자 URL 및 OCSP 기관 인증서를 제공합니다.
  대체 OCSP는 각 vCenter Single Sign-On 사이트에 대해 구성됩니다. 페일오버를 허용할 vCenter Single Sign-On 사이트에 대한 2개 이상의 대체 OCSP 응답자를 지정할 수 있습니다.
```
sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
```
  참고: 구성은 기본적으로 현재 vCenter Single Sign-On 사이트에 적용됩니다. 기타 vCenter Single Sign-On 사이트에 대한 대체 OCSP를 구성하는 경우에만 siteID 매개 변수를 지정합니다.
  다음 예를 고려하십시오.
```
 .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
```
3. 현재 대체 OCSP 응답자 설정을 표시하려면 이 명령을 실행합니다.
```
sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
```
4. 현재 대체 OCSP 응답자 설정을 제거하려면 이 명령을 실행합니다.
```
sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
```
(선택 사항) 구성 정보를 나열하려면 다음 명령을 실행합니다.
```
sso-config.[bat|sh] -get_authn_policy -t tenantName
```