您可以在 vSphere Client 中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。
如果啟用了智慧卡驗證,並停用其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。
如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從
vCenter Server 命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
必要條件
- 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
- 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。
-
憑證必須在 [應用程式原則] 或 [延伸金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。
- 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
- 將 vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server 管理員權限。
- 確保您已設定反向 Proxy,並重新啟動實體或虛擬機器。
程序
下一步
您的環境可能需要增強型 OCSP 組態。
- 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。
- 您可以為多站台部署中的每個 vCenter Server 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用命令列管理智慧卡驗證。