您可以使用 sso-config 公用程式從命令列管理智慧卡驗證。該公用程式支援所有智慧卡組態工作。

執行這項作業的原因和時機

您可以在以下位置找到 sso-config 指令碼:

Windows

C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

支援的驗證類型和撤銷設定的組態儲存在 VMware Directory Service 中,並於 vCenter Single Sign-On 網域中的所有 Platform Services Controller執行個體之間複寫。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從Platform Services Controller命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。

作業系統

命令

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

如果使用 OCSP 進行撤銷檢查,您可以仰賴在智慧卡憑證 AIA 延伸中指定的預設 OCSP。您還可以覆寫預設值並設定一或多個備用 OCSP 回應程式。例如,您可以設定 vCenter Single Sign-On 站台的本機 OCSP 回應程式,使其處理撤銷檢查要求。

備註︰

如果您的憑證未定義 OCSP,請改為啟用 CRL (憑證撤銷清單)。

先決條件

  • 確認您的環境使用的是 Platform Services Controller6.5 版,且您使用的是vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。

  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:

    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services ControllerWeb 介面憑證受使用者工作站信任。否則,瀏覽器不會嘗試驗證。

  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。

  • vCenter Server管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server管理員權限。

    備註︰

    vCenter Single Sign-On 網域的管理員 (依預設為 administrator@vsphere.local) 無法執行智慧卡驗證。

  • 設定反向 Proxy,然後重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。

    選項

    說明

    Windows

    登入 Platform Services Controller Windows 安裝,並使用 WinSCP 或類似的公用程式來複製檔案。

    應用裝置

    1. 直接登入或使用 SSH 登入應用裝置主控台。

    2. 按如下方式啟用應用裝置 shell。

      shell
      chsh -s "/bin/bash" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf

    4. 按如下方式選擇性地停用應用裝置 shell。

      chsh -s "bin/appliancesh" root
  2. 若要針對 VMware Directory Service (vmdir) 啟用智慧卡驗證,請執行下列命令。
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    例如:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    使用逗點分隔多個憑證,但是不要在逗點後加空格。

  3. 若要停用所有其他驗證方法,請執行以下命令。
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (選擇性) ︰ 若要設定憑證原則允許清單,請執行以下命令。
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    若要指定多個原則,請以命令分隔它們,例如:

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    該允許清單會指定在憑證的憑證原則延伸中允許的原則的物件 ID。X509 憑證可以擁有憑證原則延伸。

  5. (選擇性) ︰ 使用 OCSP 開啟和設定撤銷檢查。
    1. 使用 OCSP 開啟撤銷檢查。
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. 如果 OCSP 回應程式連結不是透過憑證的 AIA 延伸提供的,請提供覆寫 OCSP 回應程式 URL 及 OCSP 授權機構核發的憑證。

      為每個 vCenter Single Sign-On 站台設定備用 OCSP。您可以為 vCenter Single Sign-On 站台指定多個備用 OCSP 回應程式以允許容錯移轉。

      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer

      備註︰

      依預設,組態會套用至目前的 vCenter Single Sign-On 站台。僅當您為其他 vCenter Single Sign-On 站台設定備用 OCSP 時,指定 siteID 參數。

      請考慮下列範例。

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP reponder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. 若要顯示目前的備用 OCSP 回應程式設定,請執行以下命令。
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
      
    4. 若要移除目前的備用 OCSP 回應程式設定,請執行以下命令。
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (選擇性) ︰ 若要列出組態資訊,請執行以下命令。
    sso-config.[bat|sh] -get_authn_policy -t tenantName