Sie können das Dienstprogramm sso-config verwenden, um die Smartcard-Authentifizierung über die Befehlszeile zu verwalten. Das Dienstprogramm unterstützt alle Smartcard- Konfigurationsaufgaben.

Warum und wann dieser Vorgang ausgeführt wird

Das sso-config-Skript befindet sich in folgenden Verzeichnissen:

Windows

C:\Programme\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

Die Konfiguration von unterstützten Authentifizierungstypen und Widerrufseinstellungen wird in VMware Directory Service gespeichert und über alle Platform Services Controller-Instanzen einer vCenter Single Sign-On-Domäne hinweg repliziert.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.

Betriebssystem

Befehl

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Wenn Sie OCSP für den Zertifikatswiderruf verwenden, können Sie das in der AIA-Erweiterung des Smartcard-Zertifikats angegebene Standard-OCSP nutzen. Sie können die Standardeinstellung auch außer Kraft setzen und einen oder weitere alternative OCSP-Responder konfigurieren. Beispielsweise können Sie lokale OCSP-Responder für die vCenter Single Sign-On-Site einrichten, um die Anforderung des Zertifikatswiderrufs zu verarbeiten.

Anmerkung:

Falls OCSP für Ihr Zertifikat nicht definiert ist, aktivieren Sie stattdessen CRL (Certificate Revocation List, Zertifikatswiderrufsliste).

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist. Anderenfalls unternimmt der Browser keinen Versuch zur Authentifizierung.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.

    Anmerkung:

    Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „administrator@vsphere.local“, kann keine Smartcard-Authentifizierung durchführen.

  • Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.

    Option

    Beschreibung

    Windows

    Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.

    Appliance

    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.

    2. Aktivieren Sie die Appliance-Shell wie folgt:

      shell
      chsh -s "/bin/bash" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.

    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:

      chsh -s "bin/appliancesh" root
  2. Zur Aktivierung der Smartcard-Authentifizierung für VMware Directory Service (vmdir) führen Sie den folgenden Befehl aus:
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Beispiel:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Trennen Sie mehrere Zertifikate durch Kommas, aber fügen Sie nach den Kommas keine Leerzeichen ein.

  3. Führen Sie zum Deaktivieren aller anderer Authentifizierungsmethoden die folgenden Befehle aus:
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Optional) : Führen Sie zum Einrichten einer Whitelist der Zertifikatsrichtlinien den folgenden Befehl aus:
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Wenn Sie mehrere Richtlinien angeben möchten, trennen Sie diese durch einen Befehl, z. B.:

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    In der Whitelist sind Objekt-IDs von Richtlinien angegeben, die in der Zertifikatsrichtlinienerweiterung das Zertifikat zugelassen sind. Ein X509-Zertifikat kann eine Zertifikatsrichtlinienerweiterung aufweisen.

  5. (Optional) : Aktivieren und konfigurieren Sie die Überprüfung des Widerrufs mittels OCSP.
    1. Aktivieren Sie die Überprüfung des Widerrufs mittels OCSP.
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. Wenn der Link zum OCSP-Responder nicht von der AIA-Erweiterung der Zertifikate zur Verfügung gestellt wird, geben Sie die überschreibende OCSP-Responder-URL und das Zertifikat der OCSP-Zertifizierungsstelle an.

      Das alternative OCSP wird für jede vCenter Single Sign-On-Site konfiguriert. Um ein Failover zu ermöglichen, können Sie mehrere alternative OCSP-Responder für Ihre vCenter Single Sign-On-Site angeben.

      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer

      Anmerkung:

      Die Konfiguration wird standardmäßig auf die aktuelle vCenter Single Sign-On-Site angewendet. Geben Sie den Parameter siteID nur dann an, wenn Sie ein alternatives OCSP für andere vCenter Single Sign-On-Sites konfigurieren.

      Betrachten Sie das folgende Beispiel.

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP reponder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder anzuzeigen.
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
      
    4. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder zu entfernen.
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (Optional) : Führen Sie zum Auflisten der Konfigurationsinformationen den folgenden Befehl aus:
    sso-config.[bat|sh] -get_authn_policy -t tenantName