您可以將環境設定為要求使用者使用 RSA SecurID Token 登入。SecurID 僅支援透過命令列進行設定。

執行這項作業的原因和時機

如需詳細資料,請參閱有關 RSA SecurID 設定的兩篇 vSphere 部落格文章。

備註︰

RSA Authentication Manager 需要使用者 ID 為使用 1 至 255 ASCII 字元的唯一識別碼。不允許使用 & 符號 (&)、百分號 (%)、大於 (>)、小於 (<) 和單引號 (`) 等字元。

先決條件

  • 確認您的環境使用的是 Platform Services Controller6.5 版,且您使用的是vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。

  • 確認已正確設定您環境中的 RSA Authentication Manager,且使用者擁有 RSA Token。需要 RSA Authentication Manager 8.0 版或更新版本。

  • 確認已將 RSA Manager 使用的身分識別來源新增至 vCenter Single Sign-On。請參閱新增 vCenter Single Sign-On 身分識別來源

  • 確認 RSA Authentication Manager 系統能夠解析 Platform Services Controller 主機名稱,並且 Platform Services Controller 系統能夠解析 RSA Authentication Manager 主機名稱。

  • 透過選取存取 > 驗證代理程式 > 產生組態檔,從 RSA Manager 匯出 sdconf.rec 檔案。解壓縮產生的 AM_Config.zip 檔案,以尋找 sdconf.rec 檔案。

  • sdconf.rec 檔案複製到 Platform Services Controller 節點。

程序

  1. 變更至 sso-config 指令碼所在的目錄。

    選項

    說明

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    應用裝置

    /opt/vmware/bin

  2. 若要啟用 RSA SecurID 驗證,請執行以下命令。
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName 是 vCenter Single Sign-On 網域的名稱,依預設為 vsphere.local。

  3. (選擇性) ︰ 若要停用其他驗證方法,請執行以下命令。
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. 若要設定環境以使目前站台上的承租人使用 RSA 站台,請執行以下命令。
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    例如:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    您可以指定下列選項。

    選項

    說明

    siteID

    選擇性 Platform Services Controller 站台識別碼Platform Services Controller 在每個站台上支援一個 RSA Authentication Manager 執行個體或叢集。如果您不明確指定此選項,則 RSA 組態會用於目前 Platform Services Controller 站台。僅在您新增其他站台時使用此選項。

    agentName

    在 RSA Authentication Manager 中定義。

    sdConfFile

    從 RSA Manager 下載,並包含諸如 IP 位址等 RSA Manager 組態資訊的 sdconf.rec 檔案複本。

  5. (選擇性) ︰ 若要將承租人組態變更為非預設值,請執行下列命令。
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    預設值通常是適用的,例如:

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (選擇性) ︰ 如果您的身分識別來源未使用使用者主體名稱做為使用者識別碼,請設定身分識別來源 userID 屬性。

    userID 屬性可判定哪個 LDAP 屬性會用做 RSA userID。

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    例如:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 若要顯示目前設定,請執行下列命令。
    sso-config.sh -t tenantName -get_rsa_config

結果

如果停用使用者名稱和密碼驗證並啟用 RSA 驗證,則使用者必須使用其使用者名稱和 RSA Token 登入。使用者名稱和密碼登入已無法繼續使用。

備註︰

使用 userID@domainNameuserID@domain_upn_suffix 使用者名稱格式。