Você pode configurar seu ambiente para exigir que os usuários façam login com um token RSA SecurID. A instalação do SecurID é compatível apenas com a linha de comando.

Consulte as duas vSphere postagens do blog sobre a RSA SecurIDconfiguração para obter detalhes.

Observação: O RSA Authentication Manager requer que a ID do usuário seja um identificador exclusivo que use de 1 a 255 caracteres ASCII. Os caracteres "e" comercial (&), porcentagem (%), maior que (>), menor que (<) e aspas simples (`) não são permitidos.

Pré-requisitos

  • Verifique se o seu ambiente tem um RSA Authentication Manager configurado corretamente e se os usuários têm tokens RSA. É necessário o RSA Authentication Manager versão 8.0 ou posterior.
  • Verifique se a origem de identidade que o RSA Manager usa foi adicionada a vCenter Single Sign-On. Consulte Adicionar ou editar uma origem de identidade vCenter Single Sign-On.
  • Verifique se o sistema do RSA Authentication Manager pode resolver o nome do host vCenter Server e se o sistema vCenter Server pode resolver o nome do host do RSA Authentication Manager.
  • Export the sdconf.rec file from the RSA Manager by selecting Access > Authentication Agents > Generate configuration file. Para localizar o arquivo sdconf.rec, descompacte o arquivo AM_Config.zip resultante.
  • Copie o arquivo sdconf.rec para o nó vCenter Server.

Procedimento

  1. Altere para o diretório em que o script sso-config está localizado. 
    /opt/vmware/bin
  2. Para ativar a autenticação RSA SecurID, execute o seguinte comando. 
    sso-config.sh -t tenantName -set_authn_policy -securIDAuthn true
    tenantName é o nome do domínio vCenter Single Sign-On, vsphere.local por padrão.
  3. (Opcional) Para desativar outros métodos de autenticação, execute o seguinte comando. 
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Para configurar o ambiente para que o locatário no site atual use o site RSA, execute o seguinte comando. 
    sso-config.sh -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    Por exemplo: 
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    Você pode especificar as seguintes opções.
    Opção Descrição
    siteID ID do site Platform Services Controller opcional. Platform Services Controller é compatível com uma instância ou cluster do RSA Authentication Manager por site. Se você não especificar explicitamente essa opção, a configuração do RSA será para o site Platform Services Controller atual. Use essa opção somente se estiver adicionando um site diferente.
    agentName Definido no RSA Authentication Manager.
    sdConfFile Cópia do arquivo sdconf.rec que foi baixado do RSA Manager e inclui informações de configuração para o RSA Manager, como o endereço IP.
  5. (Opcional) Para alterar a configuração do tenant para valores não padrão, execute o seguinte comando. 
    sso-config.sh -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    O padrão geralmente é apropriado, por exemplo: 
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Opcional) Se a sua origem de identidade não estiver usando o Nome Principal do Usuário como ID do usuário, configure o atributo userID da origem de identidade. (Suportado apenas com Active Directory sobre origens de identidade LDAP.)

    O atributo userID determina qual atributo LDAP é usado como o ID do usuário RSA. 

    sso-config.sh -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Por exemplo: 
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Para exibir as configurações atuais, execute o seguinte comando. 
    sso-config.sh -t tenantName -get_rsa_config

Resultados

Se a autenticação de nome de usuário e senha estiver desativada e a autenticação RSA estiver ativada, os usuários deverão fazer login com seu nome de usuário e token RSA. O login com nome de usuário e senha não é mais possível.

Observação: Use o formato de nome de usuário userID@domainName ou userID@domain_upn_suffix.