Você pode usar o utilitário sso-config para gerenciar a autenticação do cartão inteligente a partir da linha de comando. O utilitário oferece suporte a todas as tarefas de configuração de smart card.

Você pode encontrar o script sso-config no seguinte local: 
/opt/vmware/bin/sso-config.sh

A configuração dos tipos de autenticação compatíveis e as configurações de revogação são armazenadas no Serviço de Diretório VMware e replicadas em todas as instâncias vCenter Server em um domínio vCenter Single Sign-On.

Se a autenticação de nome de usuário e senha estiver desativada e se ocorrerem problemas com a autenticação do cartão inteligente, os usuários não poderão fazer login. Nesse caso, um usuário root ou administrador pode ativar a autenticação de nome de usuário e senha na linha de comando vCenter Server. O comando a seguir ativa a autenticação de nome de usuário e senha. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Se você usar o tenant padrão, use vsphere.local como o nome do tenant.

Se você usar o OCSP para verificação de revogação, poderá confiar no OCSP padrão especificado na extensão AIA do certificado de cartão inteligente. Você também pode substituir o padrão e configurar um ou mais respondedores OCSP alternativos. Por exemplo, você pode configurar respondedores OCSP que são locais para o site vCenter Single Sign-On para processar a solicitação de verificação de revogação.

Observação: Se o seu certificado não tiver o OCSP definido, use a CRL (certificate revocation list) em vez disso.

Pré-requisitos

  • Verifique se uma Infraestrutura de Chave Pública (PKI) corporativa está configurada em seu ambiente e se os certificados atendem aos seguintes requisitos:
    • Um User Principal Name (UPN) deve corresponder a uma conta Active Directory no ramal Subject Alternative Name (SAN).

    • O certificado deve especificar a Autenticação do Cliente no campo Política do Aplicativo ou Uso Estendido da Chave ou o navegador não mostrará o certificado.

  • Adicione uma origem de identidade Active Directory a vCenter Single Sign-On.
  • Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade Active Directory. Esses usuários podem executar tarefas de gerenciamento porque podem autenticar e têm vCenter Server privilégios de administrador.
  • Certifique-se de ter configurado o proxy reverso e reiniciado a máquina física ou virtual.

Procedimento

  1. Obtenha os certificados e copie-os para uma pasta que o utilitário sso-config possa ver.
    1. Faça login no console do appliance do, diretamente ou usando o SSH.
    2. Ative o shell do appliance do, da seguinte maneira. 
      shell
chsh -s "/bin/bash" root
    3. Use o WinSCP ou um utilitário semelhante para copiar os certificados para o /usr/lib/vmware-sso/vmware-sts/conf no vCenter Server.
    4. Opcionalmente, desative o shell, da seguinte maneira. 
      chsh -s "/bin/appliancesh" root
  2. Para ativar a autenticação de carrinho inteligente, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    Por exemplo: 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    Separe vários certificados com vírgulas, mas não coloque espaços após a vírgula.
  3. Para desativar todos os outros métodos de autenticação, execute os seguintes comandos. 
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Opcional) Para definir uma lista de permissões de políticas de certificado, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -certPolicies policies
    Para especificar várias políticas, separe-as com uma vírgula, por exemplo: 
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    Essa lista de permissões especifica IDs de objeto de políticas que são permitidas na extensão de política de certificado do certificado. Um certificado X509 pode ter uma extensão de Política de Certificado.
  5. (Opcional) Ative e configure a verificação de revogação usando o OCSP.
    1. Ative a verificação de revogação usando o OCSP. 
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Se o link do respondente OCSP não for fornecido pela extensão AIA dos certificados, forneça a URL do respondente OCSP e o certificado de autoridade OCSP de substituição.
      O OCSP alternativo é configurado para cada site vCenter Single Sign-On. Você pode especificar mais de um respondente OCSP alternativo para seu site vCenter Single Sign-On para permitir o failover. 
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Observação: A configuração é aplicada ao site vCenter Single Sign-On atual por padrão. Especifique o parâmetro siteID somente se você configurar o OCSP alternativo para outros sites vCenter Single Sign-On.

      Considere o exemplo a seguir. 

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
    3. Para exibir as configurações alternativas atuais do respondente OCSP, execute este comando. 
      sso-config.sh -t tenantName -get_alt_ocsp]
    4. Para remover as configurações alternativas atuais do respondente OCSP, execute este comando. 
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
  6. (Opcional) Para listar as informações de configuração, execute o seguinte comando. 
    sso-config.sh -get_authn_policy -t tenantName