您可以使用 sso-config 公用程式從命令列管理智慧卡驗證。該公用程式支援所有智慧卡組態工作。

您可以在以下位置找到 sso-config 指令碼:
/opt/vmware/bin/sso-config.sh

支援的驗證類型和撤銷設定的組態儲存在 VMware Directory Service 中,並於 vCenter Single Sign-On 網域中的所有 vCenter Server 執行個體之間複寫。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從 vCenter Server 命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

如果您使用預設承租人,請使用 vsphere.local 做為承租人名稱。

如果使用 OCSP 進行撤銷檢查,您可以仰賴在智慧卡憑證 AIA 延伸中指定的預設 OCSP。您還可以覆寫預設值並設定一或多個備用 OCSP 回應程式。例如,您可以設定 vCenter Single Sign-On 站台的本機 OCSP 回應程式,使其處理撤銷檢查要求。

備註: 如果您的憑證未定義 OCSP,請改為使用 CRL (憑證撤銷清單)。

必要條件

  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。
    • 憑證必須在 [應用程式原則] 或 [延伸金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
  • vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server 管理員權限。
  • 確保您已設定反向 Proxy,並重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。
    1. 直接登入或使用 SSH 登入應用裝置主控台。
    2. 啟用應用裝置 shell,如下所示。
      shell
      chsh -s "/bin/bash" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 vCenter Server 上的 /usr/lib/vmware-sso/vmware-sts/conf
    4. 選擇性地停用 shell,如下所示。
      chsh -s "/bin/appliancesh" root
  2. 若要啟用智慧卡驗證,請執行以下命令。
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    
    例如:
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    
    使用逗點分隔多個憑證,但是不要在逗點後加空格。
  3. 若要停用所有其他驗證方法,請執行以下命令。
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (選擇性) 若要設定憑證原則允許清單,請執行以下命令。
    sso-config.sh -set_authn_policy -certPolicies policies
    若要指定多個原則,請用逗號加以分隔,例如:
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    該允許清單會指定在憑證的憑證原則延伸中允許的原則的物件識別碼。X509 憑證可以擁有憑證原則延伸。
  5. (選擇性) 使用 OCSP 開啟和設定撤銷檢查。
    1. 使用 OCSP 開啟撤銷檢查。
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. 如果 OCSP 回應程式連結不是透過憑證的 AIA 延伸提供的,請提供覆寫 OCSP 回應程式 URL 及 OCSP 授權機構核發的憑證。
      為每個 vCenter Single Sign-On 站台設定備用 OCSP。您可以為 vCenter Single Sign-On 站台指定多個備用 OCSP 回應程式以允許容錯移轉。
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      備註: 依預設,組態會套用至目前的 vCenter Single Sign-On 站台。僅當您為其他 vCenter Single Sign-On 站台設定備用 OCSP 時,指定 siteID 參數。

      請考慮下列範例。

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP responder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. 若要顯示目前的備用 OCSP 回應程式設定,請執行以下命令。
      sso-config.sh -t tenantName -get_alt_ocsp]
      
    4. 若要移除目前的備用 OCSP 回應程式設定,請執行以下命令。
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (選擇性) 若要列出組態資訊,請執行以下命令。
    sso-config.sh -get_authn_policy -t tenantName