Sie können über die Platform Services Controller-Webschnittstelle die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Warum und wann dieser Vorgang ausgeführt wird

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.

Betriebssystem

Befehl

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist. Anderenfalls unternimmt der Browser keinen Versuch zur Authentifizierung.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.

    Anmerkung:

    Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „administrator@vsphere.local“, kann keine Smartcard-Authentifizierung durchführen.

  • Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.

    Option

    Beschreibung

    Windows

    Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.

    Appliance

    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.

    2. Aktivieren Sie die Appliance-Shell wie folgt:

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.

    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:

      chsh -s "bin/appliancesh" root
  2. Stellen Sie von einem Webbrowser aus eine Verbindung zum vSphere Web Client oder zum Platform Services Controller her.

    Option

    Beschreibung

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  3. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  4. Navigieren Sie zur Benutzeroberfläche für die vCenter Single Sign-On-Konfiguration.

    Option

    Beschreibung

    vSphere Web Client

    1. Wählen Sie im Menü Home die Option Verwaltung aus.

    2. Klicken Sie unter Single Sign-On auf Konfiguration.

    Platform Services Controller

    Klicken Sie auf Single Sign-On und dann auf Konfiguration.

  5. Klicken Sie auf Smartcard-Konfiguration und wählen Sie die Registerkarte Vertrauenswürdige CA-Zertifikate aus.
  6. Um ein oder mehrere vertrauenswürdige Zertifikate hinzuzufügen, klicken Sie auf Zertifikat hinzufügen und anschließend auf Durchsuchen. Wählen Sie dann alle Zertifikate von vertrauenswürdigen Zertifizierungsstellen aus und klicken Sie auf OK.
  7. Klicken Sie zum Festlegen der Authentifizierungskonfiguration neben Authentifizierungskonfiguration auf Bearbeiten und aktivieren bzw. deaktivieren Sie Authentifizierungsmethoden.

    Das Aktivieren bzw. Deaktivieren der RSA SecurID-Authentifizierung ist über diese Webschnittstelle nicht möglich. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.

Nächste Maßnahme

Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.

  • Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.

  • Sie können einen oder mehrere lokale OCSP-Responder für jede Platform Services Controller-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung über die Befehlszeile.