您可使用智慧卡驗證登入 ESXi Direct Console 使用者介面 (DCUI),方法是使用個人身分驗證 (PIV)、通用存取卡 (CAC) 或 SC650 智慧卡,而非指定使用者名稱和密碼。

智慧卡是一張內嵌整合式電路晶片的小塑膠卡。許多政府機關及大型企業均採用以雙重要素驗證為基礎的智慧卡,以增強其系統的安全性並符合安全法規。

ESXi 主機上啟用智慧卡驗證時,DCUI 會提示提供智慧卡和 PIN 組合,而不是使用者名稱和密碼的預設提示。

  1. 當您將智慧卡插入智慧卡讀卡機時,ESXi 主機會讀取上面的認證。
  2. ESXi DCUI 會顯示您的登入識別碼,並提示您輸入 PIN。
  3. 在您輸入 PIN 之後,ESXi 主機會將其與儲存在智慧卡上的 PIN 進行比對,並使用 Active Directory 驗證智慧卡上的憑證。
  4. 成功驗證智慧卡憑證之後,ESXi 會讓您登入 DCUI。

按 F3 即可從 DCUI 切換到使用者名稱和密碼驗證。

連續幾次輸入不正確的 PIN (通常為三次) 後,智慧卡上的晶片即會鎖定。如果智慧卡鎖定,只有特定人員才能將其解除鎖定。

啟用智慧卡驗證

啟用智慧卡驗證,以提示智慧卡和 PIN 組合登入 ESXi DCUI。

必要條件

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取驗證服務
    您將看到目前的智慧卡驗證狀態和包含已匯入憑證的清單。
  4. 在 [智慧卡驗證] 面板中,按一下編輯
  5. 在 [編輯智慧卡驗證] 對話方塊中,選取 [憑證] 頁面。
  6. 新增受信任的憑證授權機構 (CA) 憑證,例如根 CA 憑證和中繼 CA 憑證。
    憑證必須採用 PEM 格式。
  7. 開啟 [智慧卡驗證] 頁面,選取啟用智慧卡驗證核取方塊,然後按一下確定

停用智慧卡驗證

停用智慧卡驗證,以返回到用於 ESXi DCUI 登入的預設使用者名稱和密碼驗證。

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取驗證服務
    您將看到目前的智慧卡驗證狀態和包含已匯入憑證的清單。
  4. 在 [智慧卡驗證] 面板中,按一下編輯
  5. 在 [智慧卡驗證] 頁面上,取消選取啟用智慧卡驗證核取方塊,然後按一下確定

發生連線問題時,利用使用者名稱和密碼進行驗證

如果 Active Directory (AD) 網域伺服器無法連線,您可以藉由使用者名稱和密碼驗證登入 ESXi DCUI,以對主機執行緊急動作。

在例外情況下,因連線問題、網路中斷或災難而無法連線 AD 網域伺服器以對智慧卡進行使用者認證的驗證。在此情況下,您可以使用本機 ESXi 管理員使用者的認證,登入 ESXi DCUI。登入之後,您可以執行診斷或其他緊急動作。將記錄使用者名稱和密碼登入後援。至 AD 的連線已還原時,會再次啟用智慧卡驗證。

備註: 如果 Active Directory (AD) 網域伺服器可用,則中斷與 vCenter Server 的網路連線不會影響智慧卡驗證。

在鎖定模式下使用智慧卡驗證

啟用後,ESXi 主機上的鎖定模式可提高主機的安全性並限制對 DCUI 的存取。鎖定模式可能會導致智慧卡驗證不再起作用。

在一般鎖定模式下,僅 [例外使用者] 清單中具有管理員權限的使用者可以存取 DCUI。例外使用者為主機的本機使用者,或具有針對 ESXi 主機本機定義之權限的 Active Directory 使用者。如果要在一般鎖定模式下使用智慧卡驗證,必須從 vSphere Client 將使用者新增至 [例外使用者] 清單。當主機進入一般鎖定模式時,這些使用者不會遺失他們的權限,並且可以登入 DCUI。如需詳細資訊,請參閱 指定鎖定模式例外使用者

在嚴格鎖定模式下,DCUI 服務會停止。因此,您無法使用智慧卡驗證存取主機。