Sie können über die Platform Services Controller-Webschnittstelle die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Vorbereitungen

  • Stellen Sie sicher, dass Ihre Umgebung Platform Services Controller Version 6.0 Update 2 oder höher verwendet und Sie vCenter Server Version 6.0 oder höher verwenden. Führen Sie bei Knoten der Version 5.5 ein Upgrade auf Version 6.0 durch.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN), der einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entspricht.

    • Die Client-Authentifizierung muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselnutzung“ eines Zertifikats angegeben werden, da dieses Zertifikat andernfalls im Browser nicht angezeigt wird.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist, da der Browser andernfalls keinen Versuch zur Authentifizierung unternimmt.

  • Konfigurieren Sie eine Active Directory-Identitätsquelle und fügen Sie diese zu vCenter Single Sign-On als Identitätsquelle hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können sich dann authentifizieren, da sie sich in der Active Directory-Gruppe befinden, und sie verfügen über vCenter Server-Administratorrechte. Der Benutzer „administrator@vsphere.local“ kann keine Smartcard-Authentifizierung ausführen.

  • Wenn Ihre Umgebung über die Platform Services Controller-HA-Lösung verfügen soll, schließen Sie die gesamte HA-Konfiguration ab, bevor Sie die Smartcard-Authentifizierung einrichten. Weitere Informationen finden Sie im VMware Knowledge Base Artikel 2112085 (Windows) oder 2113315 (vCenter Server Appliance).

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie die Smartcard-Authentifizierung über die Befehlszeile konfigurieren, richten Sie immer zuerst den Platform Services Controller mit dem Befehl sso-config ein. Sie können dann andere Aufgaben über die Platform Services Controller-Webschnittstelle durchführen.

  1. Konfigurieren Sie den Platform Services Controller so, dass der Webbrowser die Übermittlung des Smartcard-Zertifikats anfordert, wenn der Benutzer sich anmeldet.

  2. Konfigurieren Sie die Authentifizierungsrichtlinie. Sie können die Richtlinie mit dem Skript sso-config oder über die Platform Services Controller-Webschnittstelle konfigurieren. Die Konfiguration von unterstützten Authentifizierungstypen und Widerrufseinstellungen wird in VMware Directory Service gespeichert und über alle Platform Services Controller-Instanzen einer vCenter Single Sign-On-Domäne hinweg repliziert.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn das Anmelden über den vSphere Web Client nicht funktioniert und die Benutzernamen- und Kennwort-Authentifizierung deaktiviert ist, kann ein Root- oder Administratorbenutzer die Benutzernamen- und Kennwort-Authentifizierung über die Platform Services Controller-Befehlszeile wieder aktivieren, indem er den folgenden Befehl ausführt: Das Beispiel ist für Windows. Verwenden Sie für Linux sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.

    Option

    Beschreibung

    Windows

    Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.

    Appliance

    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.

    2. Aktivieren Sie die Appliance-Shell wie folgt:

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.

    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:

      chsh -s "bin/appliancesh" root
  2. Konfigurieren Sie auf jedem Platform Services Controller-Knoten die Einstellungen der Smartcard-Authentifizierung unter Verwendung der sso-config-CLI.
    1. Navigieren Sie zu dem Verzeichnis, in dem sich das sso-config-Skript befindet.

      Option

      Beschreibung

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      Appliance

      /opt/vmware/bin

    2. Führen Sie den folgenden Befehl aus:
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Beispiel:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local
      

      Trennen Sie mehrere Zertifikate durch Kommas, aber fügen Sie nach den Kommas keine Leerzeichen ein.

    3. Starten Sie die virtuelle bzw. physische Maschine neu.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Stellen Sie über einen Browser eine Verbindung zum Platform Services Controller her, indem Sie folgende URL eingeben:

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  4. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  5. Navigieren Sie zu Single Sign-On > Konfiguration.
  6. Klicken Sie auf Smartcard-Konfiguration und wählen Sie die Registerkarte Vertrauenswürdige CA-Zertifikate aus.
  7. Um ein oder mehrere vertrauenswürdige Zertifikate hinzuzufügen, klicken Sie auf Zertifikat hinzufügen und anschließend auf Durchsuchen. Wählen Sie dann alle Zertifikate von vertrauenswürdigen Zertifizierungsstellen aus und klicken Sie auf OK.
  8. Klicken Sie zum Festlegen der Authentifizierungskonfiguration neben Authentifizierungskonfiguration auf Bearbeiten und aktivieren bzw. deaktivieren Sie Authentifizierungsmethoden.

    Das Aktivieren bzw. Deaktivieren der RSA SecurID-Authentifizierung ist über diese Webschnittstelle nicht möglich. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.