您可以在 vSphere Client 中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。
如果啟用了智慧卡驗證,並停用其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。
如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從
Platform Services Controller命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。
作業系統 | 命令 |
---|---|
Windows | sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> 如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。 |
Linux | sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> 如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。 |
必要條件
- 確認您的環境使用的是 Platform Services Controller 6.5 版或更新版本,且您使用的是 vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。
- 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
- 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。
憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。
- 確認 Platform Services Controller 憑證受使用者的工作站信任。否則,瀏覽器不會嘗試驗證。
- 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
- 將vCenter Server管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server管理員權限。
備註: vCenter Single Sign-On 網域的管理員 (依預設為 [email protected]) 無法執行智慧卡驗證。
- 設定反向 Proxy,然後重新啟動實體或虛擬機器。
程序
下一步
您的環境可能需要增強型 OCSP 組態。
- 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。
- 您可以為多站台部署中的每個 Platform Services Controller 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用命令列管理智慧卡驗證。