sso-config 유틸리티를 사용하면 명령줄에서 스마트 카드 인증을 관리할 수 있습니다. 이 유틸리티는 모든 스마트 카드 구성 작업을 지원합니다.
다음 위치에서
sso-config 스크립트를 찾을 수 있습니다.
/opt/vmware/bin/sso-config.sh
지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 vCenter Server 인스턴스에 복제됩니다.
사용자 이름 및 암호 인증이 사용되지 않도록 설정된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가
vCenter Server 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 사용하도록 설정합니다.
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.
해지 확인에 OCSP를 사용하는 경우 스마트 카드 인증서 AIA 확장에 지정된 기본 OCSP에 의존할 수 있습니다. 기본값을 재정의하고 하나 이상의 대체 OCSP 응답자를 구성할 수도 있습니다. 예를 들어 vCenter Single Sign-On 사이트에 대해 로컬인 OCSP 응답자를 설정하여 해지 확인 요청을 처리할 수 있습니다.
참고: 인증서에 OCSP가 정의되어 있지 않은 경우 대신 CRL(인증서 해지 목록)을 사용하도록 설정합니다.
사전 요구 사항
- 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
- UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
-
인증서가 [애플리케이션 정책] 또는 [확장 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.
- vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
- Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
- 역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작했는지 확인합니다.