사용자가 RSA SecurID 토큰을 사용하여 로그인하도록 환경을 설정할 수 있습니다. SecurID 설정은 명령줄에서만 지원됩니다.

세부 정보는 RSA SecurID 설정에 관한 vSphere 블로그 게시물 두 개를 참조하십시오.

참고: RSA Authentication Manager에서 사용자 ID는 1~255개 ASCII 문자를 사용하는 고유 식별자여야 합니다. 문자 앰퍼샌드(&), 백분율(%), 보다 큼(>), 보다 작음(<) 및 작은 따옴표(`)는 허용되지 않습니다.

사전 요구 사항

  • RSA SecurID를 구성할 때 vCenter SSO(Single Sign-On)는 IWA(Integrated Windows Authentication)가 RSA 사용자의 ID 소스로 구성된 경우에만 사용자 계정 이름(userPrincipalName 속성)을 사용자 ID로 사용하도록 지원합니다.
  • 환경에서 Platform Services Controller 버전 6.5 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.
  • 환경에 RSA Authentication Manager가 올바르게 구성되어 있고 사용자에게 RSA 토큰이 있는지 확인합니다. RSA Authentication Manager 버전 8.0 이상이 필요합니다.
  • RSA Manager가 사용하는 ID 소스가 vCenter Single Sign-On에 추가되었는지 확인합니다. vCenter Single Sign-On ID 소스 추가 또는 편집의 내용을 참조하십시오.
  • RSA Authentication Manager 시스템에서 Platform Services Controller 호스트 이름을 확인할 수 있고 Platform Services Controller 시스템에서 RSA Authentication Manager 호스트 이름을 확인할 수 있는지 확인합니다.
  • 액세스 > 인증 에이전트 > 구성 파일 생성을 선택하여 RSA Manager에서 sdconf.rec 파일을 내보냅니다. 생성된 AM_Config.zip 파일의 압축을 해제하고 sdconf.rec 파일을 찾습니다.
  • sdconf.rec 파일을 Platform Services Controller 노드에 복사합니다.

프로시저

  1. sso-config 스크립트가 있는 디렉토리로 변경합니다.
    옵션 설명
    Windows C:\Program Files\VMware\VCenter server\VMware Identity Services
    장치 /opt/vmware/bin
  2. RSA SecurID 인증을 사용하도록 설정하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy -securIDAuthn true
    tenantName은 vCenter Single Sign-On 도메인의 이름이며, 기본값은 vsphere.local입니다.
  3. (선택 사항) 다른 인증 방법을 사용하지 않도록 설정하려면 다음 명령을 실행합니다.
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. 현재 사이트에 있는 테넌트가 RSA 사이트를 사용하도록 환경을 구성하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    
    예:
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    
    다음 옵션을 지정할 수 있습니다.
    옵션 설명
    siteID 선택적 Platform Services Controller 사이트 ID. Platform Services Controller는 사이트당 RSA Authentication Manager 인스턴스 또는 클러스터를 하나 지원합니다. 이 옵션을 명시적으로 지정하지 않으면 RSA 구성은 현재 Platform Services Controller 사이트에 적용됩니다. 이 옵션은 다른 사이트를 추가할 때만 사용합니다.
    agentName RSA Authentication Manager에 정의됩니다.
    sdConfFile RSA Manager에서 다운로드한 sdconf.rec 파일의 사본이며, RSA Manager에 대한 구성 정보(예: IP 주소)를 포함합니다.
  5. (선택 사항) 테넌트 구성을 기본값이 아닌 값으로 변경하려면 다음 명령을 실행합니다.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    
    일반적으로 기본값은 적절합니다. 예:
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (선택 사항) ID 소스가 UPN(사용자 계정 이름)을 사용자 ID로 사용하지 않으면 ID 소스 userID 특성을 설정합니다. (LDAP ID 소스를 통한 Active Directory에서만 지원됩니다.)

    userID 특성은 RSA userID로 사용할 LDAP 특성을 결정합니다.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    예:
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 현재 설정을 표시하려면 다음 명령을 실행합니다.
    sso-config.sh -t tenantName -get_rsa_config

결과

사용자 이름과 암호 인증이 사용되지 않도록 설정되어 있고 RSA 인증이 사용되도록 설정되어 있는 경우 사용자는 자신의 사용자 이름과 RSA 토큰으로 로그인해야 합니다. 사용자 이름과 암호 로그인은 더 이상 가능하지 않습니다.

참고: 사용자 이름 형식 userID@domainName 또는 userID@domain_upn_suffix를 사용합니다.