Você pode ativar e desativar a autenticação de cartão inteligente, personalizar o banner de login e configurar a política de revogação do vSphere Client.

Se a autenticação de cartão inteligente estiver ativada e outros métodos de autenticação forem desativados, os usuários serão solicitados a fazer login usando a autenticação de cartão inteligente.

Se a autenticação de nome de usuário e senha estiver desativada e se ocorrerem problemas com a autenticação do cartão inteligente, os usuários não poderão fazer login. Nesse caso, um usuário root ou administrador pode ativar a autenticação de nome de usuário e senha na linha de comando vCenter Server. O comando a seguir ativa a autenticação de nome de usuário e senha. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Pré-requisitos

  • Verifique se uma Infraestrutura de Chave Pública (PKI) corporativa está configurada em seu ambiente e se os certificados atendem aos seguintes requisitos:
    • Um User Principal Name (UPN) deve corresponder a uma conta Active Directory no ramal Subject Alternative Name (SAN).

    • O certificado deve especificar a Autenticação do Cliente no campo Política do Aplicativo ou Uso Estendido da Chave ou o navegador não mostrará o certificado.

  • Adicione uma origem de identidade Active Directory a vCenter Single Sign-On.
  • Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade Active Directory. Esses usuários podem executar tarefas de gerenciamento porque podem autenticar e têm vCenter Server privilégios de administrador.
  • Certifique-se de ter configurado o proxy reverso e reiniciado a máquina física ou virtual.

Procedimento

  1. Obtenha os certificados e copie-os para uma pasta que o utilitário sso-config possa ver.
    1. Faça login no console do vCenter Server, diretamente ou usando o SSH.
    2. Desative o shell, da seguinte maneira. 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. Use o WinSCP ou um utilitário semelhante para copiar os certificados para o diretório /usr/lib/vmware-sso/vmware-sts/conf no vCenter Server.
    4. Opcionalmente, desative o shell do appliance do, da seguinte maneira. 
      chsh -s "/bin/appliancesh" root
  2. Faça login com o vSphere Client no vCenter Server.
  3. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  4. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  5. Na guia Provedor de identidade, clique em Autenticação de cartão inteligente (Smart Card Authentication) e clique em Editar (Edit).
  6. Marque ou desmarque os métodos de autenticação e clique em Salvar (Save).
    Você pode escolher a autenticação de cartão inteligente por si só, ou autenticação de cartão inteligente e senha e autenticação de sessão Windows.
    Você não pode ativar ou desativar a autenticação do RSA SecurID nesta interface do Web. No entanto, se RSA SecurID tiver sido ativado a partir da linha de comando, o status aparecerá na interface Web.
    Os Certificados de CA confiáveis (Trusted CA certificates) são exibidos.
  7. Na guia Certificados de CA confiáveis (Trusted CA certificates), clique em Adicionar (Add) e clique em Procurar (Browse).
  8. Selecione todos os certificados de CAs confiáveis e clique em Adicionar (Add).

O que Fazer Depois

Seu ambiente pode exigir uma configuração aprimorada do OCSP.
  • Se a resposta do OCSP for emitida por uma CA diferente da CA de assinatura do cartão inteligente, forneça o certificado da CA de assinatura do OCSP.
  • Você pode configurar um ou mais respondedores OCSP locais para cada site vCenter Server em uma implantação de vários sites. Você pode configurar esses respondedores OCSP alternativos usando a CLI. Consulte Gerenciar a autenticação do cartão inteligente usando a CLI.