您可以在 Platform Services Controller Web 介面中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。

執行這項作業的原因和時機

如果啟用了智慧卡驗證,並停用其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從Platform Services Controller命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。

作業系統

命令

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

先決條件

  • 確認您的環境使用的是 Platform Services Controller6.5 版,且您使用的是vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。

  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:

    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services ControllerWeb 介面憑證受使用者工作站信任。否則,瀏覽器不會嘗試驗證。

  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。

  • vCenter Server管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server管理員權限。

    備註︰

    vCenter Single Sign-On 網域的管理員 (依預設為 administrator@vsphere.local) 無法執行智慧卡驗證。

  • 設定反向 Proxy,然後重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。

    選項

    說明

    Windows

    登入 Platform Services Controller Windows 安裝,並使用 WinSCP 或類似的公用程式來複製檔案。

    應用裝置

    1. 直接登入或使用 SSH 登入應用裝置主控台。

    2. 按如下方式啟用應用裝置 shell。

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf

    4. 按如下方式選擇性地停用應用裝置 shell。

      chsh -s "bin/appliancesh" root
  2. 從網頁瀏覽器連線至 vSphere Web ClientPlatform Services Controller

    選項

    說明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在內嵌式部署中,Platform Services Controller主機名稱或 IP 位址與 vCenter Server 主機名稱或 IP 位址相同。

  3. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。

    如果在安裝期間指定了其他網域,請以 administrator@mydomain 身分登入。

  4. 導覽至 vCenter Single Sign-On 組態 UI。

    選項

    說明

    vSphere Web Client

    1. 首頁功能表中,選取管理

    2. Single Sign-On 下,按一下組態

    Platform Services Controller

    按一下 Single Sign-On,然後按一下組態

  5. 按一下智慧卡組態,然後選取受信任的 CA 憑證索引標籤。
  6. 若要新增一或多個可信任的憑證,請依序按一下新增憑證瀏覽,並從受信任的 CA 中選取所有憑證,然後按一下確定
  7. 若要指定驗證組態,請按一下驗證組態旁邊的編輯,然後選取或取消選取驗證方法。

    您無法從此 Web 介面啟用或停用 RSA SecurID 驗證。但是,如果 RSA SecurID 已透過命令列啟用,則狀態會顯示在 Web 介面中。

下一步

您的環境可能需要增強型 OCSP 組態。

  • 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。

  • 您可以為多站台部署中的每個 Platform Services Controller 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用命令列管理智慧卡驗證