사용자 이름 및 암호를 지정하는 대신 PIV(Personal Identity Verification), CAC(Common Access Card) 또는 SC650 스마트 카드를 통해 스마트 카드 인증을 사용하여 ESXi DCUI(Direct Console User Interface)에 로그인할 수 있습니다.

스마트 카드는 집적 회로 칩이 내장된 소형 플라스틱 카드입니다. 수많은 정부 기관과 대기업에서는 스마트 카드 기반의 이중 인증을 사용하여 시스템의 보안을 강화하고 보안 규정을 준수합니다.

스마트 카드 인증이 ESXi 호스트에서 사용되도록 설정된 경우 DCUI는 사용자 이름 및 암호에 대한 기본 프롬프트 대신 스마트 카드 및 PIN 조합을 확인하는 메시지를 표시합니다.

  1. 스마트 카드를 스마트 카드 판독기에 삽입하면 ESXi 호스트가 해당 스마트 카드의 자격 증명을 읽습니다.
  2. ESXi DCUI는 로그인 ID를 표시하고 PIN을 묻는 메시지를 표시합니다.
  3. PIN을 입력하면 ESXi 호스트가 스마트 카드에 저장된 PIN과 대조한 후 Active Directory를 통해 스마트 카드의 인증서를 확인합니다.
  4. 스마트 카드 인증서를 성공적으로 확인하면 ESXi가 사용자를 DCUI에 로그인시킵니다.

F3을 눌러 DCUI에서 사용자 이름 및 암호 인증으로 전환할 수 있습니다.

스마트 카드의 칩은 PIN 항목을 연속해서 잘못 입력하면 잠깁니다(일반적으로 세 번임). 스마트 카드가 잠기면 선택된 담당자만 잠금 해제할 수 있습니다.

스마트 카드 인증 활성화

ESXi DCUI에 로그인하려면 스마트 카드 및 PIN 조합을 요구하도록 스마트 카드 인증을 활성화합니다.

사전 요구 사항

  • Active Directory 도메인의 계정, 스마트 카드 판독기 및 스마트 카드와 같이 스마트 카드 인증을 처리하는 인프라를 설정합니다.
  • 스마트 카드 인증을 지원하는 Active Directory 도메인에 가입하도록 ESXi를 구성합니다. 자세한 내용은 Active Directory를 통해 ESXi 사용자 관리의 내용을 참조하십시오.
  • vSphere Client를 사용하여 루트 인증서를 추가합니다. ESXi 호스트의 인증서 관리의 내용을 참조하십시오.

프로시저

  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. 시스템 아래에서 인증 서비스를 선택합니다.
    현재 스마트 카드 인증 상태와 가져온 인증서가 포함된 목록이 표시됩니다.
  4. 스마트 카드 인증 패널에서 편집을 클릭합니다.
  5. [스마트 카드 인증 편집] 대화상자에서 [인증서] 페이지를 선택합니다.
  6. 신뢰할 수 있는 CA(인증 기관) 인증서(예: 루트 및 중간 CA 인증서)를 추가합니다.
    인증서는 PEM 형식이어야 합니다.
  7. [스마트 카드 인증] 페이지를 열고 스마트 카드 인증 사용 확인란을 선택한 다음 확인을 클릭합니다.

스마트 카드 인증 비활성화

스마트 카드 인증을 비활성화하여 ESXi DCUI 로그인에 대한 기본 사용자 이름 및 암호 인증으로 돌아갑니다.

프로시저

  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. 시스템 아래에서 인증 서비스를 선택합니다.
    현재 스마트 카드 인증 상태와 가져온 인증서가 포함된 목록이 표시됩니다.
  4. 스마트 카드 인증 패널에서 편집을 클릭합니다.
  5. [스마트 카드 인증] 페이지에서 스마트 카드 인증 사용 확인란의 선택을 취소하고 확인을 클릭합니다.

연결 문제 발생 시 사용자 이름과 암호를 사용하여 인증

AD(Active Directory) 도메인 서버에 연결할 수 없는 경우 사용자 이름 및 암호 인증을 사용하여 ESXi DCUI에 로그인하면 호스트에서 긴급 작업을 수행할 수 있습니다.

예외적인 환경에서 연결 문제, 네트워크 운영 중단 또는 재해로 인해 스마트 카드에서 사용자 자격 증명을 인증하기 위해 AD 도메인 서버에 연결할 수 없습니다. 이 경우 로컬 ESXi 관리자 사용자 자격 증명을 사용하여 ESXi DCUI에 로그인할 수 있습니다. 로그인한 후에는 진단 또는 기타 긴급 작업을 수행할 수 있습니다. 사용자 이름 및 암호 로그인에 대한 폴백이 기록됩니다. AD에 대한 연결이 복원되는 경우 스마트 카드 인증을 다시 사용하도록 설정할 수 있습니다.

참고: AD(Active Directory) 도메인 서버를 사용할 수 있으면 vCenter Server에 대한 네트워크 연결이 끊어져도 스마트 카드 인증에는 영향을 주지 않습니다.

잠금 모드에서 스마트 카드 인증 사용

활성화된 경우 ESXi 호스트의 잠금 모드는 호스트의 보안을 강화하고 DCUI에 대한 액세스를 제한합니다. 잠금 모드로 인해 스마트 카드 인증이 더 이상 작동하지 않을 수 있습니다.

정상 잠금 모드에서는 관리자 권한이 있는 예외 사용자 목록의 사용자만 DCUI에 액세스할 수 있습니다. 예외 사용자는 ESXi 호스트에 대해 로컬로 정의된 사용 권한이 있는 Active Directory 사용자 또는 호스트 로컬 사용자입니다. 정상 잠금 모드에서 스마트 카드 인증을 사용하려는 경우 vSphere Client에서 사용자를 예외 사용자 목록에 추가해야 합니다. 이러한 사용자는 호스트가 정상 잠금 모드로 전환될 때 사용 권한을 손실하지 않으며 DCUI에 로그인할 수 있습니다. 자세한 내용은 잠금 모드 예외 사용자 지정의 내용을 참조하십시오.

엄격 잠금 모드에서는 DCUI 서비스가 중지됩니다. 따라서 스마트 카드 인증을 사용하여 호스트에 액세스할 수 없습니다.