您可以在 vSphere Client 中啟用和停用智慧卡驗證、自訂登入橫幅和設定撤銷原則。

如果啟用了智慧卡驗證並停用了其他驗證方法,則系統會要求使用者使用智慧卡驗證登入。

如果使用者名稱和密碼驗證已停用,並且智慧卡驗證出現問題,則使用者無法登入。在這種情況下,根使用者或管理員使用者可以從 vCenter Server 命令列開啟使用者名稱和密碼驗證。下列命令可啟用使用者名稱和密碼驗證。 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

必要條件

  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 憑證必須在 [應用程式原則] 或 [延伸金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
  • vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server 管理員權限。
  • 確保您已設定反向 Proxy,並重新啟動實體或虛擬機器。

程序

  1. 取得憑證,並將其複製到 sso-config 公用程式可存取的資料夾中。
    1. 直接登入或使用 SSH 登入 vCenter Server 主控台。
    2. 啟用 shell,如下所示。 
      Command> shell
chsh -s "/bin/bash" root
chsh -s "bin/appliancesh" root
    3. 使用 WinSCP 或類似公用程式將憑證複製到 vCenter Server 上的 /usr/lib/vmware-sso/vmware-sts/conf 目錄。
    4. 選擇性地停用 shell,如下所示。 
      chsh -s "/bin/appliancesh" root
  2. 使用 vSphere Client 登入 vCenter Server
  3. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  4. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  5. 身分識別提供者索引標籤下,按一下智慧卡驗證,然後按一下編輯
  6. 選取或取消選取驗證方法,然後按一下儲存
    您無法從此 Web 介面啟用或停用 RSA SecurID 驗證。但是,如果 RSA SecurID 已透過命令列啟用,則狀態會顯示在 Web 介面中。
    受信任的 CA 憑證索引標籤隨即顯示。
  7. 受信任的 CA 憑證索引標籤下:
    1. 按一下新增,然後按一下瀏覽
    2. 選取受信任的 CA 憑證,然後按一下新增
  8. 若要新增其他受信任的 CA 憑證,請重複步驟 7。

下一步

您的環境可能需要增強型 OCSP 組態。
  • 如果您的 OCSP 回應是由智慧卡簽署 CA 以外的其他 CA 核發,請提供 OCSP 簽署 CA 憑證。
  • 您可以為多站台部署中的每個 vCenter Server 站台設定一或多個本機 OCSP 回應程式。您可以使用 CLI 設定這些備用 OCSP 回應程式。請參閱使用 CLI 管理智慧卡驗證