您可以在 Platform Services Controller Web 介面中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。

如果啟用了智慧卡驗證,並停用其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從 Platform Services Controller 命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。
作業系統 命令
Windows 
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

Linux 
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

必要條件

  • 確認您的環境使用的是 Platform Services Controller 6.5 版,且您使用的是 vCenter Server 6.0 版或更新版本。Platform Services Controller 6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。
  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services Controller Web 介面憑證受使用者工作站信任。否則,瀏覽器不會嘗試驗證。
  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
  • vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server 管理員權限。
    備註: vCenter Single Sign-On 網域的管理員 (依預設為 [email protected]) 無法執行智慧卡驗證。
  • 設定反向 Proxy,然後重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。
    選項 說明
    Windows 登入 Platform Services Controller Windows 安裝,並使用 WinSCP 或類似的公用程式來複製檔案。
    應用裝置
    1. 直接登入或使用 SSH 登入應用裝置主控台。
    2. 按如下方式啟用應用裝置 shell。 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf
    4. 按如下方式選擇性地停用應用裝置 shell。 
      chsh -s "bin/appliancesh" root
  2. 從網頁瀏覽器連線至 vSphere Web ClientPlatform Services Controller
    選項 說明
    vSphere Web Client https://vc_hostname_or_IP/vsphere-client
    Platform Services Controller https://psc_hostname_or_IP/psc

    在內嵌式部署中,Platform Services Controller 主機名稱或 IP 位址與 vCenter Server 主機名稱或 IP 位址相同。

  3. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  4. 導覽至 vCenter Single Sign-On 組態 UI。
    選項 說明
    vSphere Web Client
    1. 首頁功能表中,選取管理
    2. Single Sign-On 下,按一下組態
    Platform Services Controller 按一下 Single Sign-On,然後按一下組態
  5. 按一下智慧卡組態,然後選取受信任的 CA 憑證索引標籤。
  6. 若要新增一或多個可信任的憑證,請依序按一下新增憑證瀏覽,並從受信任的 CA 中選取所有憑證,然後按一下確定
  7. 若要指定驗證組態,請按一下驗證組態旁邊的編輯,然後選取或取消選取驗證方法。
    您無法從此 Web 介面啟用或停用 RSA SecurID 驗證。但是,如果 RSA SecurID 已透過命令列啟用,則狀態會顯示在 Web 介面中。

下一步

您的環境可能需要增強型 OCSP 組態。
  • 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。
  • 您可以為多站台部署中的每個 Platform Services Controller 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用命令列管理智慧卡驗證