Você pode usar o utilitário sso-config para gerenciar a autenticação de cartão inteligente na linha de comando. O utilitário oferece suporte a todas as tarefas de configuração de cartão inteligente.

Você pode encontrar o script sso-config no seguinte local: 
/opt/vmware/bin/sso-config.sh

A configuração dos tipos de autenticação e configurações de revogação com suporte é armazenada no serviço de diretório do VMware e replicada em todas as instâncias do vCenter Server em um domínio do vCenter Single Sign-On.

Se a autenticação de nome de usuário e senha estiver desativada e se ocorrerem problemas com a autenticação de cartão inteligente, os usuários não poderão fazer login. Nesse caso, um usuário raiz ou administrador pode ativar a autenticação de nome de usuário e senha na linha de comando do vCenter Server. O comando a seguir habilita a autenticação de nome de usuário e senha. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Se você usar o tenant padrão, use vsphere.local como o nome do tenant.

Se você usar o OCSP para verificação de revogação, poderá contar com o OCSP padrão especificado na extensão AIA do certificado de cartão inteligente. Você também pode substituir o padrão e configurar um ou mais respondentes OCSP alternativos. Por exemplo, você pode configurar respondentes OCSP que são locais para o site do vCenter Single Sign-On para processar a solicitação de verificação de revogação.

Observação: Se o seu certificado não tiver o OCSP definido, ative a CRL (lista de revogação de certificado).

Pré-requisitos

  • Verifique se uma infraestrutura de chave pública (PKI) corporativa está configurada no seu ambiente e se os certificados atendem aos seguintes requisitos:
    • Um Nome Principal do Usuário (UPN) deve corresponder a uma conta do Active Directory na extensão Nome Alternativo da Entidade (SAN).

    • O certificado deve especificar a Autenticação do Cliente no campo Política de Aplicativo ou Uso Estendido de Chave ou o navegador não mostrará o certificado.

  • Adicione uma origem de identidade de Active Directory a vCenter Single Sign-On.
  • Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade do Active Directory. Esses usuários podem realizar tarefas de gerenciamento porque eles podem se autenticar e têm vCenter Server privilégios de administrador.
  • Certifique-se de ter configurado o proxy reverso e reiniciado a máquina física ou virtual.

Procedimento

  1. Obtenha os certificados e copie-os para uma pasta que o utilitário sso-config possa ver.
    1. Faça login no console do dispositivo, diretamente ou usando SSH.
    2. Ative o shell do appliance da seguinte maneira. 
      shell
chsh -s "/bin/bash" root
    3. Use o WinSCP ou um utilitário semelhante para copiar os certificados para / usr / lib / vmware-sso / vmware-sts / conf no vCenter Server.
    4. Opcionalmente, desative o shell, da seguinte maneira. 
      chsh -s "/bin/appliancesh" root
  2. Para habilitar a autenticação do carrinho inteligente, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    Por exemplo: 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    Separe vários certificados com vírgulas, mas não coloque espaços após a vírgula.
  3. Para desativar todos os outros métodos de autenticação, execute os seguintes comandos. 
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Opcional) Para definir uma lista de permissões de políticas de certificado, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -certPolicies policies
    Para especificar várias políticas, separe-as com uma vírgula, por exemplo: 
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    Esta lista de permissões especifica IDs de objeto de políticas que são permitidas na extensão de política de certificado do certificado. Um certificado X509 pode ter uma extensão de Política de Certificado.
  5. (Opcional) Ative e configure a verificação de revogação usando OCSP.
    1. Ative a verificação de revogação usando OCSP. 
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Se o link do respondente do OCSP não for fornecido pela extensão AIA dos certificados, forneça a URL do respondente do OCSP de substituição e o certificado de autoridade do OCSP.
      O OCSP alternativo é configurado para cada site do vCenter Single Sign-On. Você pode especificar mais de um respondente OCSP alternativo para o seu site do vCenter Single Sign-On para permitir o failover. 
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Observação: A configuração é aplicada ao site vCenter Single Sign-On atual por padrão. Especifique o parâmetro siteID somente se você configurar o OCSP alternativo para outros sites vCenter Single Sign-On.

      Considere o exemplo a seguir. 

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
    3. Para exibir as configurações alternativas atuais do respondente do OCSP, execute este comando. 
      sso-config.sh -t tenantName -get_alt_ocsp]
    4. Para remover as configurações alternativas atuais do respondente do OCSP, execute este comando. 
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
  6. (Opcional) Para listar as informações de configuração, execute o seguinte comando. 
    sso-config.sh -get_authn_policy -t tenantName