Verwenden der Platform Services Controller-Webschnittstelle zum Verwalten der Smartcard-Authentifizierung

Sie können über die Platform Services Controller-Webschnittstelle die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.


Betriebssystem	Befehl
Windows	sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.
Linux	sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Voraussetzungen

Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
- Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.
- Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.
Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist. Anderenfalls unternimmt der Browser keinen Versuch zur Authentifizierung.
Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
Hinweis: Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „[email protected]“, kann keine Smartcard-Authentifizierung durchführen.
Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.

Option	Beschreibung
Windows	Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.
Appliance	Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an. Aktivieren Sie die Appliance-Shell wie folgt: shell chsh -s "/bin/bash" root csh -s "bin/appliance/sh" root Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller. Optional können Sie die Appliance-Shell wie folgt deaktivieren: chsh -s "bin/appliancesh" root

Option

Beschreibung

Windows

Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.

Appliance

Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.

Aktivieren Sie die Appliance-Shell wie folgt:

shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root

Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.
Optional können Sie die Appliance-Shell wie folgt deaktivieren:
```
chsh -s "bin/appliancesh" root
```

Stellen Sie von einem Webbrowser aus eine Verbindung zum vSphere Web Client oder zum Platform Services Controller her.

Option	Beschreibung
vSphere Web Client	`https://vc_hostname_or_IP/vsphere-client`
Platform Services Controller	`https://psc_hostname_or_IP/psc` In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.

Navigieren Sie zur Benutzeroberfläche für die vCenter Single Sign-On-Konfiguration.

Option	Beschreibung
vSphere Web Client	Wählen Sie im Menü Home die Option Verwaltung aus. Klicken Sie unter Single Sign-On auf Konfiguration.
Platform Services Controller	Klicken Sie auf Single Sign-On und dann auf Konfiguration.

Klicken Sie auf Smartcard-Konfiguration und wählen Sie die Registerkarte Vertrauenswürdige CA-Zertifikate aus.
Um ein oder mehrere vertrauenswürdige Zertifikate hinzuzufügen, klicken Sie auf Zertifikat hinzufügen und anschließend auf Durchsuchen. Wählen Sie dann alle Zertifikate von vertrauenswürdigen Zertifizierungsstellen aus und klicken Sie auf OK.
Klicken Sie zum Festlegen der Authentifizierungskonfiguration neben Authentifizierungskonfiguration auf Bearbeiten und aktivieren bzw. deaktivieren Sie Authentifizierungsmethoden.
Das Aktivieren bzw. Deaktivieren der RSA SecurID-Authentifizierung ist über diese Webschnittstelle nicht möglich. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.

Nächste Maßnahme

Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.

Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.
Sie können einen oder mehrere lokale OCSP-Responder für jede Platform Services Controller-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung über die Befehlszeile.