Sie können das Dienstprogramm sso-config verwenden, um die Smartcard-Authentifizierung über die Befehlszeile zu konfigurieren. Das Dienstprogramm unterstützt alle Smartcard- Konfigurationsaufgaben.

Vorbereitungen

  • Stellen Sie sicher, dass Ihre Umgebung Platform Services Controller Version 6.0 Update 2 oder höher verwendet und Sie vCenter Server Version 6.0 oder höher verwenden. Führen Sie bei Knoten der Version 5.5 ein Upgrade auf Version 6.0 durch.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN), der einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entspricht.

    • Die Client-Authentifizierung muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselnutzung“ eines Zertifikats angegeben werden, da dieses Zertifikat andernfalls im Browser nicht angezeigt wird.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist, da der Browser andernfalls keinen Versuch zur Authentifizierung unternimmt.

  • Konfigurieren Sie eine Active Directory-Identitätsquelle und fügen Sie diese zu vCenter Single Sign-On als Identitätsquelle hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können sich dann authentifizieren, da sie sich in der Active Directory-Gruppe befinden, und sie verfügen über vCenter Server-Administratorrechte. Der Benutzer „administrator@vsphere.local“ kann keine Smartcard-Authentifizierung ausführen.

  • Wenn Ihre Umgebung über die Platform Services Controller-HA-Lösung verfügen soll, schließen Sie die gesamte HA-Konfiguration ab, bevor Sie die Smartcard-Authentifizierung einrichten. Weitere Informationen finden Sie im VMware Knowledge Base Artikel 2112085 (Windows) oder 2113315 (vCenter Server Appliance).

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie die Smartcard-Authentifizierung über die Befehlszeile konfigurieren, richten Sie immer zuerst den Platform Services Controller mit dem Befehl sso-config ein. Sie können dann andere Aufgaben über die Platform Services Controller-Webschnittstelle durchführen.

  1. Konfigurieren Sie den Platform Services Controller so, dass der Webbrowser die Übermittlung des Smartcard-Zertifikats anfordert, wenn der Benutzer sich anmeldet.

  2. Konfigurieren Sie die Authentifizierungsrichtlinie. Sie können die Richtlinie mit dem Skript sso-config oder über die Platform Services Controller-Webschnittstelle konfigurieren. Die Konfiguration von unterstützten Authentifizierungstypen und Widerrufseinstellungen wird in VMware Directory Service gespeichert und über alle Platform Services Controller-Instanzen einer vCenter Single Sign-On-Domäne hinweg repliziert.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn das Anmelden über den vSphere Web Client nicht funktioniert und die Benutzernamen- und Kennwort-Authentifizierung deaktiviert ist, kann ein Root- oder Administratorbenutzer die Benutzernamen- und Kennwort-Authentifizierung über die Platform Services Controller-Befehlszeile wieder aktivieren, indem er den folgenden Befehl ausführt: Das Beispiel ist für Windows. Verwenden Sie für Linux sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Das sso-config-Skript finden Sie an folgenden Speicherorten:

Windows

C:\Programme\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.

    Option

    Beschreibung

    Windows

    Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.

    Appliance

    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.

    2. Aktivieren Sie die Appliance-Shell wie folgt:

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.

    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:

      chsh -s "bin/appliancesh" root
  2. Konfigurieren Sie auf jedem Platform Services Controller-Knoten die Einstellungen der Smartcard-Authentifizierung unter Verwendung der sso-config-CLI.
    1. Navigieren Sie zu dem Verzeichnis, in dem sich das sso-config-Skript befindet.

      Option

      Beschreibung

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      Appliance

      /opt/vmware/bin

    2. Führen Sie den folgenden Befehl aus:
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Beispiel:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local
      
    3. Starten Sie die virtuelle bzw. physische Maschine neu.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Zur Aktivierung der Smartcard-Authentifizierung für VMware Directory Service (vmdir) führen Sie den folgenden Befehl aus:
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Beispiel:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Wenn Sie mehrere Zertifikate angeben, sind keine Leerzeichen zwischen Zertifikaten zulässig.

  4. Führen Sie zum Deaktivieren aller anderer Authentifizierungsmethoden die folgenden Befehle aus:
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

    Sie können diese Befehle verwenden, um unterschiedliche Authentifizierungsmethoden je nach Bedarf zu aktivieren und zu deaktivieren.

  5. (Optional) : Führen Sie zum Einrichten einer Whitelist der Zertifikatsrichtlinien den folgenden Befehl aus:
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Wenn Sie mehrere Richtlinien angeben möchten, trennen Sie diese durch einen Befehl, z. B.:

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    In der Whitelist sind Objekt-IDs von Richtlinien angegeben, die in der Zertifikatsrichtlinienerweiterung das Zertifikat zugelassen sind. Ein X509-Zertifikat kann eine Zertifikatsrichtlinienerweiterung aufweisen.

  6. (Optional) : Führen Sie zum Auflisten der Konfigurationsinformationen den folgenden Befehl aus:
    sso-config.[bat|sh] -get_authn_policy -t tenantName