Você pode configurar seu ambiente para exigir que os usuários façam login com um token RSA SecurID. A configuração do SecurID é suportada apenas a partir da linha de comando.

Consulte as duas postagens do vSphere Blog sobre a RSA SecurID configuração para obter detalhes.

Observação: O RSA Authentication Manager requer que a ID do usuário seja um identificador exclusivo que use de 1 a 255 caracteres ASCII. Os caracteres "e" comercial (&), porcentagem (%), maior que (>), menor que (<) e aspas simples (`) não são permitidos.

Pré-requisitos

  • Verifique se o seu ambiente tem um RSA Authentication Manager configurado corretamente e se os usuários têm tokens RSA. O RSA Authentication Manager versão 8.0 ou posterior é necessário.
  • Verifique se a origem da identidade usada pelo RSA Manager foi adicionada ao vCenter Single Sign-On. Consulte Adicionar ou editar uma origem de identidade do vCenter Single Sign-On.
  • Verifique se o sistema do RSA Authentication Manager pode resolver o nome do host vCenter Server e se o sistema do vCenter Server pode resolver o nome do host do RSA Authentication Manager.
  • Export the sdconf.rec file from the RSA Manager by selecting Access > Authentication Agents > Generate configuration file. Para localizar o arquivo sdconf.rec , descompacte o arquivo AM_Config.zip resultante.
  • Copie o arquivo sdconf.rec para o nó vCenter Server.

Procedimento

  1. Mude para o diretório onde o script sso-config está localizado. 
    /opt/vmware/bin
  2. Para habilitar a autenticação do RSA SecurID, execute o seguinte comando. 
    sso-config.sh -t tenantName -set_authn_policy -securIDAuthn true
    tenantName é o nome do domínio vCenter Single Sign-On, vsphere.local por padrão.
  3. (Opcional) Para desativar outros métodos de autenticação, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Para configurar o ambiente para que o tenant no site atual use o site RSA, execute o seguinte comando. 
    sso-config.sh -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    Por exemplo: 
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    Você pode especificar as seguintes opções.
    Opção Descrição
    siteID ID do site Platform Services Controller opcional. O Platform Services Controller oferece suporte a uma instância ou cluster do RSA Authentication Manager por site. Se você não especificar explicitamente essa opção, a configuração RSA será para o site Platform Services Controller atual. Use essa opção somente se você estiver adicionando um site diferente.
    agentName Definido no RSA Authentication Manager.
    sdConfFile Cópia do arquivo sdconf.rec que foi baixado do RSA Manager e inclui informações de configuração para o RSA Manager, como o endereço IP.
  5. (Opcional) Para alterar a configuração do tenant para valores não padrão, execute o seguinte comando. 
    sso-config.sh -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    O padrão é geralmente apropriado, por exemplo: 
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Opcional) Se a sua origem de identidade não estiver usando o Nome Principal do Usuário como a ID do usuário, configure o atributo de ID do usuário de origem da identidade. (Compatível apenas com Active Directory sobre origens de identidade LDAP.)

    O atributo userID determina qual atributo LDAP é usado como o userID RSA. 

    sso-config.sh -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Por exemplo: 
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Para exibir as configurações atuais, execute o seguinte comando. 
    sso-config.sh -t tenantName -get_rsa_config

Resultados

Se a autenticação de nome de usuário e senha estiver desativada e a autenticação RSA estiver ativada, os usuários deverão fazer login com seu nome de usuário e token RSA. O login com nome de usuário e senha não é mais possível.

Observação: Use o formato de nome de usuário userID @ domainName ou userID @ domain_upn_suffix .