Você pode usar a autenticação de cartão inteligente para fazer login na ESXi Interface do Usuário do Console Direto (DCUI) usando um cartão inteligente de Verificação de Identidade Pessoal (PIV), Cartão de Acesso Comum (CAC) ou SC650 em vez de especificar um nome de usuário e uma senha.

Um cartão inteligente é um pequeno cartão de plástico com um chip de circuito integrado incorporado. Muitas agências governamentais e grandes empresas usam a autenticação de dois fatores baseada em cartão inteligente para aumentar a segurança de seus sistemas e cumprir os regulamentos de segurança.

Quando a autenticação de smart card está habilitada em um host ESXi, a DCUI solicita uma combinação de smart card e PIN em vez do prompt padrão para um nome de usuário e uma senha.

  1. Quando você insere o cartão inteligente no leitor de cartão inteligente, o host ESXi lê as credenciais nele.
  2. O ESXi DCUI exibe sua ID de login e solicita seu PIN.
  3. Depois que você digitar seu PIN, o host ESXi o corresponderá ao PIN armazenado no cartão inteligente e verificará o certificado no cartão inteligente com Active Directory.
  4. Após a verificação bem-sucedida do certificado do cartão inteligente, ESXi conecta você à DCUI.

Você pode alternar para a autenticação de nome de usuário e senha do DCUI pressionando F3.

O chip no cartão inteligente é bloqueado após algumas entradas incorretas consecutivas de PIN, geralmente três. Se um smart card estiver bloqueado, somente o pessoal selecionado poderá desbloqueá-lo.

Ativar a autenticação do cartão inteligente

Ative a autenticação de cartão inteligente para solicitar a combinação de cartão inteligente e PIN para fazer login no ESXi DCUI.

Pré-requisitos

  • Configure a infraestrutura para lidar com a autenticação de cartão inteligente, como contas no domínio Active Directory, leitores de cartão inteligente e cartões inteligentes.
  • Configure ESXi para ingressar em um domínio Active Directory que ofereça suporte à autenticação de cartão inteligente. Para obter mais informações, consulte Usando o Active Directory para gerenciar usuários do ESXi.
  • Use o vSphere Client para adicionar certificados raiz. Consulte Gerenciando certificados para hosts ESXi.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Serviços de autenticação (Authentication Services).
    Você vê o status atual da autenticação do smart card e uma lista com certificados importados.
  4. No painel Autenticação de cartão inteligente, clique em Editar (Edit).
  5. Na caixa de diálogo Editar Autenticação de Cartão Inteligente, selecione a página Certificados.
  6. Adicione certificados de Autoridade de Certificação (CA) confiáveis, por exemplo, certificados de CA raiz e intermediários.
    Os certificados devem estar no formato PEM.
  7. Abra a página Autenticação por cartão inteligente, marque a caixa de seleção Ativar autenticação por cartão inteligente (Enable Smart Card Authentication) e clique em OK.

Desativar a autenticação do cartão inteligente

Desative a autenticação de cartão inteligente para retornar à autenticação padrão de nome de usuário e senha para o login do ESXi DCUI.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Serviços de autenticação (Authentication Services).
    Você vê o status atual da autenticação do smart card e uma lista com certificados importados.
  4. No painel Autenticação de cartão inteligente, clique em Editar (Edit).
  5. Na página Autenticação por Smart Card, desmarque a caixa de seleção Ativar Autenticação por Smart Card (Enable Smart Card Authentication) e clique em OK.

Autenticação com nome de usuário e senha em caso de problemas de conectividade

Se o servidor de domínio Active Directory (AD) não estiver acessível, você poderá fazer login na DCUI ESXi usando a autenticação de nome de usuário e senha para executar ações de emergência no host.

Em circunstâncias excepcionais, o servidor de domínio do AD não pode ser acessado para autenticar as credenciais do usuário no cartão inteligente devido a problemas de conectividade, interrupção da rede ou desastres. Nesse caso, você pode fazer login na DCUI ESXi usando as credenciais de um usuário Administrador ESXi local. Depois de fazer login, você poderá realizar diagnósticos ou outras ações de emergência. O fallback para o login de nome de usuário e senha é registrado. Quando a conectividade com o AD é restaurada, a autenticação do cartão inteligente é habilitada novamente.

Observação: A perda de conectividade de rede para vCenter Server não afetará a autenticação do cartão inteligente se o servidor de domínio Active Directory (AD) estiver disponível.

Usando a autenticação de cartão inteligente no modo de bloqueio

Quando ativado, o modo de bloqueio no host ESXi aumenta a segurança do host e limita o acesso à DCUI. O modo de bloqueio pode fazer com que a autenticação do cartão inteligente não funcione mais.

No modo de bloqueio normal, somente os usuários na lista Usuários de Exceção com privilégios de administrador podem acessar a DCUI. Os usuários de exceção são usuários locais do host ou usuários Active Directory com permissões definidas localmente para o host ESXi. Se você quiser usar a autenticação de cartão inteligente no modo de bloqueio normal, deverá adicionar usuários à lista Usuários de exceção do vSphere Client. Esses usuários não perdem suas permissões quando o host entra no modo de bloqueio normal e podem fazer login na DCUI. Para obter mais informações, consulte Especificar usuários de exceção do modo de bloqueio.

No modo de bloqueio estrito, o serviço DCUI é interrompido. Como resultado, você não pode acessar o host usando a autenticação de cartão inteligente.