您可以在 vSphere Client 中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。

如果啟用了智慧卡驗證,並停用其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從 Platform Services Controller命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。
作業系統 命令
Windows
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

Linux
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

必要條件

  • 確認您的環境使用的是 Platform Services Controller 6.5 版或更新版本,且您使用的是 vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。
  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。
    • 憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services Controller 憑證受使用者的工作站信任。否則,瀏覽器不會嘗試驗證。
  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
  • vCenter Server管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server管理員權限。
    備註: vCenter Single Sign-On 網域的管理員 (依預設為 [email protected]) 無法執行智慧卡驗證。
  • 設定反向 Proxy,然後重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。
    選項 說明
    Windows 登入 Platform Services Controller Windows 安裝,並使用 WinSCP 或類似的公用程式來複製檔案。
    應用裝置
    1. 直接登入或使用 SSH 登入應用裝置主控台。
    2. 按如下方式啟用應用裝置 shell。
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 Platform Services Controller 上的 /usr/lib/vmware-sso/vmware-sts/conf
    4. 按如下方式選擇性地停用應用裝置 shell。
      chsh -s "/bin/appliancesh" root
  2. 使用 vSphere Client登入連線到 Platform Services ControllervCenter Server
  3. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  4. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  5. 智慧卡驗證下,按一下編輯
  6. 選取或取消選取驗證方法,然後按一下儲存
    您可以單獨選擇智慧卡驗證,也可以同時選擇智慧卡驗證以及密碼與 Windows 工作階段驗證。
    您無法從此 Web 介面啟用或停用 RSA SecurID 驗證。但是,如果 RSA SecurID 已透過命令列啟用,則狀態會顯示在 Web 介面中。
    受信任的 CA 憑證隨即顯示。
  7. 受信任的 CA 憑證索引標籤中,按一下新增,然後按一下瀏覽
  8. 從受信任的 CA 選取所有憑證,然後按一下新增

下一步

您的環境可能需要增強型 OCSP 組態。
  • 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。
  • 您可以為多站台部署中的每個 Platform Services Controller 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用命令列管理智慧卡驗證