您可以將環境設定為要求使用者使用 RSA SecurID Token 登入。SecurID 僅支援透過命令列進行設定。

如需詳細資料,請參閱有關 RSA SecurID 設定的兩篇 vSphere 部落格文章。

備註: RSA Authentication Manager 需要使用者 ID 為使用 1 至 255 ASCII 字元的唯一識別碼。不允許使用 & 符號 (&)、百分號 (%)、大於 (>)、小於 (<) 和單引號 (`) 等字元。

必要條件

  • 設定 RSA SecurID 時,只有在整合式 Windows 驗證 (IWA) 設定為 RSA 使用者的身分識別來源的情況下,vCenter Single Sign-On (SSO) 才支援使用使用者主體名稱 (userPrincipalName 屬性) 作為使用者識別碼。
  • 確認您的環境使用的是 Platform Services Controller 6.5 版或更新版本,且您使用的是 vCenter Server 6.0 版或更新版本。Platform Services Controller 6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。
  • 確認已正確設定您環境中的 RSA Authentication Manager,且使用者擁有 RSA Token。需要 RSA Authentication Manager 8.0 版或更新版本。
  • 確認已將 RSA Manager 使用的身分識別來源新增至 vCenter Single Sign-On。請參閱新增或編輯 vCenter Single Sign-On 身分識別來源
  • 確認 RSA Authentication Manager 系統能夠解析 Platform Services Controller 主機名稱,並且 Platform Services Controller 系統能夠解析 RSA Authentication Manager 主機名稱。
  • 透過選取存取 > 驗證代理程式 > 產生組態檔,從 RSA Manager 匯出 sdconf.rec 檔案。解壓縮產生的 AM_Config.zip 檔案,以尋找 sdconf.rec 檔案。
  • sdconf.rec 檔案複製到 Platform Services Controller 節點。

程序

  1. 變更至 sso-config 指令碼所在的目錄。
    選項 說明
    Windows C:\Program Files\VMware\VCenter server\VMware Identity Services
    應用裝置 /opt/vmware/bin
  2. 若要啟用 RSA SecurID 驗證,請執行以下命令。
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy -securIDAuthn true
    tenantName 是 vCenter Single Sign-On 網域的名稱,依預設為 vsphere.local。
  3. (選擇性) 若要停用其他驗證方法,請執行以下命令。
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. 若要設定環境以使目前站台上的承租人使用 RSA 站台,請執行以下命令。
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    
    例如:
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    
    您可以指定下列選項。
    選項 說明
    siteID 選擇性 Platform Services Controller 站台識別碼Platform Services Controller 在每個站台上支援一個 RSA Authentication Manager 執行個體或叢集。如果您不明確指定此選項,則 RSA 組態會用於目前 Platform Services Controller 站台。僅在您新增其他站台時使用此選項。
    agentName 在 RSA Authentication Manager 中定義。
    sdConfFile 從 RSA Manager 下載,並包含諸如 IP 位址等 RSA Manager 組態資訊的 sdconf.rec 檔案複本。
  5. (選擇性) 若要將承租人組態變更為非預設值,請執行下列命令。
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    
    預設值通常是適用的,例如:
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (選擇性) 如果您的身分識別來源未使用使用者主體名稱做為使用者識別碼,請設定身分識別來源 userID 屬性。(僅限 Active Directory over LDAP 身分識別來源支援的情況。)

    userID 屬性可判定哪個 LDAP 屬性會用做 RSA userID。

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    例如:
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. 若要顯示目前設定,請執行下列命令。
    sso-config.sh -t tenantName -get_rsa_config

結果

如果停用使用者名稱和密碼驗證並啟用 RSA 驗證,則使用者必須使用其使用者名稱和 RSA Token 登入。使用者名稱和密碼登入已無法繼續使用。

備註: 使用 userID@domainNameuserID@domain_upn_suffix 使用者名稱格式。