Sie können Ihre Umgebung so einrichten, dass sich Benutzer mit einem RSA SecurID-Token anstelle eines Kennworts anmelden müssen. Die Einrichtung von SecurID wird nur von der Befehlszeile unterstützt.

Vorbereitungen

  • Stellen Sie sicher, dass Ihre Umgebung Platform Services Controller Version 6.0 Update 2 oder höher verwendet und Sie vCenter Server Version 6.0 oder höher verwenden. Führen Sie bei Knoten der Version 5.5 ein Upgrade auf Version 6.0 durch.

  • Stellen Sie sicher, dass RSA Authentication Manager in Ihrer Umgebung ordnungsgemäß konfiguriert wurde und dass Benutzer über RSA-Token verfügen. RSA Authentication Manager Version 8.0 oder höher ist erforderlich.

  • Stellen Sie sicher, dass die von RSA Manager verwendete Identitätsquelle zu vCenter Single Sign-On hinzugefügt wurde. Weitere Informationen hierzu finden Sie unter Hinzufügen einer vCenter Single Sign On-Identitätsquelle.

  • Stellen Sie sicher, dass das RSA Authentication Manager-System den Platform Services Controller-Hostnamen auflösen kann und dass das Platform Services Controller-System den RSA Authentication Manager-Hostnamen auflösen kann.

  • Exportieren Sie die Datei sdconf.rec aus dem RSA Manager, indem Sie Zugriff > Authentifizierungsagenten > Konfigurationsdatei generieren auswählen. Dekomprimieren Sie die resultierende Datei AM_Config.zip und suchen Sie nach der Datei sdconf.rec.

  • Kopieren Sie die Datei sdconf.rec in den Platform Services Controller-Knoten.

Warum und wann dieser Vorgang ausgeführt wird

Informationen finden Sie in den zwei vSphere Blog-Beiträgen über die RSA SecurID-Einrichtung.

Anmerkung:

RSA Authentication Manager gibt vor, dass die Benutzer-ID ein eindeutiger Bezeichner ist, der 1 bis 255 ASCII-Zeichen enthalten kann. Das Kaufmannszeichen (&), Prozentsymbol (%), Größer als (>), Kleiner als (<) und das einfache Anführungszeichen (`) sind nicht zulässig.

Prozedur

  1. Wechseln Sie in das Verzeichnis, in dem sich das Skript sso-config befindet.

    Option

    Beschreibung

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    Appliance

    /opt/vmware/bin

  2. Führen Sie zum Aktivieren der RSA SecurID-Authentifizierung den folgenden Befehl aus:
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName ist der Name der vCenter Single Sign-On-Domäne (standardmäßig „vsphere.local“).

  3. (Optional) : Führen Sie zum Deaktivieren anderer Authentifizierungsmethoden den folgenden Befehl aus:
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Um die Umgebung so zu konfigurieren, dass der Mandant an der aktuellen Site die RSA-Site verwendet, führen Sie den folgenden Befehl aus.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    Beispiel:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    Sie können die folgenden Optionen angeben.

    Option

    Beschreibung

    siteID

    Optionale Platform Services Controller-Site-ID. Platform Services Controller unterstützt eine RSA Authentication Manager-Instanz bzw. ein Cluster pro Site. Wenn Sie diese Option nicht explizit festlegen, gilt die RSA-Konfiguration für die aktuelle Platform Services Controller-Site. Verwenden Sie diese Option nur, wenn Sie eine andere Site hinzufügen.

    agentName

    Definiert in RSA Authentication Manager.

    sdConfFile

    Kopie der Datei sdconf.rec, die aus dem RSA Manager heruntergeladen wurde und Informationen zur Konfiguration für den RSA Manager enthält, wie z. B. die IP-Adresse.

  5. (Optional) : Um die Mandantenkonfiguration auf nicht standardmäßige Werte zu ändern, führen Sie den folgenden Befehl aus.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    Die Standardwerte sind normalerweise angemessen, z.B.:

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Optional) : Wenn Ihre Identitätsquelle nicht den Benutzerprinzipalname als Benutzer-ID verwendet, konfigurieren Sie die Identitätsquelle als userID-Attribut.

    Das Attribut „userID“ bestimmt, welches LDAP-Attribut als RSA-Benutzer-ID verwendet wird.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    Beispiel:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Um die aktuellen Einstellungen anzuzeigen, führen Sie den folgenden Befehl aus.
    sso-config.sh -t tenantName -get_rsa_config

Ergebnisse

Wenn die Benutzernamen- und Kennwort-Authentifizierung deaktiviert und die SecurID-Token-Authentifizierung aktiviert ist, müssen Benutzer sich mit ihrem Benutzernamen und dem SecurID-Token anmelden. Die Anmeldung mit Benutzername und Kennwort ist nicht mehr möglich.