您可使用智慧卡驗證登入 ESXi Direct Console 使用者介面 (DCUI),方法是使用個人身分驗證 (PIV)、通用存取卡 (CAC) 或 SC650 智慧卡,而非指定使用者名稱和密碼。
智慧卡是一張內嵌整合式電路晶片的小塑膠卡。許多政府機關及大型企業均採用以雙重要素驗證為基礎的智慧卡,以增強其系統的安全性並符合安全法規。
在 ESXi 主機上啟用智慧卡驗證時,DCUI 會提示提供智慧卡和 PIN 組合,而不是使用者名稱和密碼的預設提示。
- 當您將智慧卡插入智慧卡讀卡機時,ESXi 主機會讀取上面的認證。
- ESXi DCUI 會顯示您的登入識別碼,並提示您輸入 PIN。
- 在您輸入 PIN 之後,ESXi 主機會將其與儲存在智慧卡上的 PIN 進行比對,並使用 Active Directory 驗證智慧卡上的憑證。
- 成功驗證智慧卡憑證之後,ESXi 會讓您登入 DCUI。
按 F3 即可從 DCUI 切換到使用者名稱和密碼驗證。
連續幾次輸入不正確的 PIN (通常為三次) 後,智慧卡上的晶片即會鎖定。如果智慧卡鎖定,只有特定人員才能將其解除鎖定。
啟用智慧卡驗證
啟用智慧卡驗證,以提示智慧卡和 PIN 組合登入 ESXi DCUI。
必要條件
- 設定基礎結構,以處理智慧卡驗證,如 Active Directory 網域中的帳戶、智慧卡讀卡機及智慧卡。
- 設定 ESXi 加入支援智慧卡驗證的 Active Directory 網域。如需詳細資訊,請參閱 使用 Active Directory 管理 ESXi 使用者。
- 使用 vSphere Client 新增根憑證。請參閱管理 ESXi 主機的憑證。
程序
停用智慧卡驗證
停用智慧卡驗證,以返回到用於 ESXi DCUI 登入的預設使用者名稱和密碼驗證。
程序
發生連線問題時,利用使用者名稱和密碼進行驗證
如果 Active Directory (AD) 網域伺服器無法連線,您可以藉由使用者名稱和密碼驗證登入 ESXi DCUI,以對主機執行緊急動作。
在例外情況下,因連線問題、網路中斷或災難而無法連線 AD 網域伺服器以對智慧卡進行使用者認證的驗證。在此情況下,您可以使用本機 ESXi 管理員使用者的認證,登入 ESXi DCUI。登入之後,您可以執行診斷或其他緊急動作。將記錄使用者名稱和密碼登入後援。至 AD 的連線已還原時,會再次啟用智慧卡驗證。
在鎖定模式下使用智慧卡驗證
啟用後,ESXi 主機上的鎖定模式可提高主機的安全性並限制對 DCUI 的存取。鎖定模式可能會導致智慧卡驗證不再起作用。
在一般鎖定模式下,僅 [例外使用者] 清單中具有管理員權限的使用者可以存取 DCUI。例外使用者為主機的本機使用者,或具有針對 ESXi 主機本機定義之權限的 Active Directory 使用者。如果要在一般鎖定模式下使用智慧卡驗證,必須從 vSphere Client 將使用者新增至 [例外使用者] 清單。當主機進入一般鎖定模式時,這些使用者不會遺失他們的權限,並且可以登入 DCUI。如需詳細資訊,請參閱 指定鎖定模式例外使用者。
在嚴格鎖定模式下,DCUI 服務會停止。因此,您無法使用智慧卡驗證存取主機。