vSphere Client에서 스마트 카드 인증을 활성화 및 비활성화하고, 로그인 배너를 사용자 지정하고, 해지 정책을 설정할 수 있습니다.

스마트 카드 인증을 활성화하고 다른 인증 방법을 비활성화한 경우 사용자는 스마트 카드 인증을 사용하여 로그인해야 합니다.

사용자 이름 및 암호 인증이 비활성화된 경우 스마트 카드 인증에 문제가 발생하면 사용자가 로그인할 수 없습니다. 이 경우 루트 또는 관리자 사용자가 vCenter Server 명령줄에서 사용자 이름 및 암호 인증을 설정할 수 있습니다. 다음 명령은 사용자 이름 및 암호 인증을 활성화합니다. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

사전 요구 사항

  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
    • UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.

    • 인증서가 [애플리케이션 정책] 또는 [확장 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.

  • vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
  • 역방향 프록시를 설정하고 물리적 시스템 또는 가상 시스템을 다시 시작했는지 확인합니다.

프로시저

  1. 인증서를 가져온 후 sso-config 유틸리티에서 볼 수 있는 폴더에 복사합니다.
    1. vCenter Server 콘솔에 직접 로그인하거나 SSH를 사용하여 로그인합니다.
    2. 다음과 같이 셸을 활성화합니다. 
      Command> shell
chsh -s "/bin/bash" root
chsh -s "bin/appliancesh" root
    3. WinSCP 또는 유사한 유틸리티를 사용하여 인증서를 vCenter Server/usr/lib/vmware-sso/vmware-sts/conf 디렉토리에 복사합니다.
    4. 필요한 경우 다음과 같이 셸을 비활성화합니다. 
      chsh -s "/bin/appliancesh" root
  2. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  3. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  4. 구성 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 구성을 클릭합니다.
  5. ID 제공자 탭에서 스마트 카드 인증을 클릭한 후 편집을 클릭합니다.
  6. 인증 방법을 선택하거나 선택 취소하고 저장을 클릭합니다.
    RSA SecurID 인증은 이 웹 인터페이스에서 활성화 또는 비활성화할 수 없습니다. 그러나 명령줄에서 RSA SecurID를 활성화한 경우 해당 상태가 웹 인터페이스에 표시됩니다.
    신뢰할 수 있는 CA 인증서 탭이 표시됩니다.
  7. 신뢰할 수 있는 CA 인증서 탭에서 다음을 수행합니다.
    1. 추가를 클릭하고 찾아보기를 클릭합니다.
    2. 신뢰할 수 있는 CA 인증서를 선택하고 추가를 클릭합니다.
  8. 신뢰할 수 있는 CA 인증서를 더 추가하려면 7단계를 반복합니다.

다음에 수행할 작업

환경에 향상된 OCSP 구성이 필요할 수 있습니다.
  • OCSP 응답이 스마트 카드의 서명 CA와 다른 CA에 의해 발급된 경우 OCSP 서명 CA 인증서를 제공합니다.
  • 다중 사이트 배포 환경에서 각 vCenter Server 사이트에 대한 하나 이상의 로컬 OCSP 응답자를 구성할 수 있습니다. CLI를 사용하여 이러한 대체 OCSP 응답자를 구성할 수 있습니다. CLI를 사용하여 스마트 카드 인증 관리의 내용을 참조하십시오.