CLI를 사용하여 스마트 카드 인증 관리

sso-config 유틸리티를 사용하면 명령줄에서 스마트 카드 인증을 관리할 수 있습니다. 이 유틸리티는 모든 스마트 카드 구성 작업을 지원합니다.

다음 위치에서 sso-config 스크립트를 찾을 수 있습니다.

/opt/vmware/bin/sso-config.sh

지원되는 인증 유형의 구성 및 해지 설정은 VMware Directory Service에 저장되며 vCenter Single Sign-On 도메인 내의 모든 vCenter Server 인스턴스에 복제됩니다.

사용자 이름 및 암호 인증이 비활성화된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가 vCenter Server 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 활성화합니다.

sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

기본 테넌트를 사용하는 경우 vsphere.local을 테넌트 이름으로 사용합니다.

해지 확인에 OCSP를 사용하는 경우 스마트 카드 인증서 AIA 확장에 지정된 기본 OCSP에 의존할 수 있습니다. 기본값을 재정의하고 하나 이상의 대체 OCSP 응답자를 구성할 수도 있습니다. 예를 들어 vCenter Single Sign-On 사이트에 대해 로컬인 OCSP 응답자를 설정하여 해지 확인 요청을 처리할 수 있습니다.

참고: 인증서에 OCSP가 정의되어 있지 않은 경우 대신 CRL(인증서 해지 목록)을 사용합니다.

사전 요구 사항

환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
- UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
- 인증서가 [애플리케이션 정책] 또는 [확장 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.
vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작했는지 확인합니다.

프로시저

인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.
1. 장치 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.
2. 다음과 같이 장치 셸을 활성화합니다.
```
shell
chsh -s "/bin/bash" root
```
3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 vCenter Server의 /usr/lib/vmware-sso/vmware-sts/conf에 복사합니다.
4. 필요한 경우 다음과 같이 셸을 비활성화합니다.
```
chsh -s "/bin/appliancesh" root
```

스마트 카드 인증을 활성화하려면 다음 명령을 실행합니다.

sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant

예:

sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local

인증서가 여러 개인 경우 인증서를 쉼표로 구분하되 쉼표 사이에 공백을 사용하지 않습니다.

다른 모든 인증 방법을 비활성화하려면 다음 명령을 실행합니다.

sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

(선택 사항) 인증서 정책 허용 목록을 설정하려면 다음 명령을 실행합니다.
```
sso-config.sh -set_authn_policy -certPolicies policies
```
정책을 여러 개 지정하려면 다음과 같이 각 정책을 쉼표로 구분합니다.
```
sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
```
이 허용 목록은 인증서의 인증서 정책 확장에서 허용되는 정책의 개체 ID를 지정합니다. X509 인증서는 인증서 정책 확장을 가질 수 있습니다.
(선택 사항) OCSP를 사용하여 해지 확인을 설정 및 구성합니다.
1. OCSP를 사용하여 해지 확인을 설정합니다.
```
sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
```
2. OCSP 응답자 링크가 인증서의 AIA 확장을 통해 제공되지 않는 경우 재정의하는 OCSP 응답자 URL 및 OCSP 기관 인증서를 제공합니다.
  대체 OCSP는 각 vCenter Single Sign-On 사이트에 대해 구성됩니다. 페일오버를 허용할 vCenter Single Sign-On 사이트에 대한 2개 이상의 대체 OCSP 응답자를 지정할 수 있습니다.
```
sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
```
  참고: 구성은 기본적으로 현재 vCenter Single Sign-On 사이트에 적용됩니다. 기타 vCenter Single Sign-On 사이트에 대한 대체 OCSP를 구성하는 경우에만 siteID 매개 변수를 지정합니다.
  다음 예를 고려하십시오.
```
 .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
```
3. 현재 대체 OCSP 응답자 설정을 표시하려면 이 명령을 실행합니다.
```
sso-config.sh -t tenantName -get_alt_ocsp]
```
4. 현재 대체 OCSP 응답자 설정을 제거하려면 이 명령을 실행합니다.
```
sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
```
(선택 사항) 구성 정보를 나열하려면 다음 명령을 실행합니다.
```
sso-config.sh -get_authn_policy -t tenantName
```