Sie können das Dienstprogramm sso-config verwenden, um die Smartcard-Authentifizierung über die Befehlszeile zu verwalten. Das Dienstprogramm unterstützt alle Smartcard- Konfigurationsaufgaben.

Das sso-config-Skript befindet sich in folgenden Verzeichnissen:
Windows C:\Programme\VMware\VCenter server\VMware Identity Services\sso-config.bat
Linux /opt/vmware/bin/sso-config.sh

Die Konfiguration von unterstützten Authentifizierungstypen und Widerrufseinstellungen wird in VMware Directory Service gespeichert und über alle Platform Services Controller-Instanzen einer vCenter Single Sign-On-Domäne hinweg repliziert.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.
Betriebssystem Befehl
Windows 
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Linux 
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Wenn Sie OCSP für den Zertifikatswiderruf verwenden, können Sie das in der AIA-Erweiterung des Smartcard-Zertifikats angegebene Standard-OCSP nutzen. Sie können die Standardeinstellung auch außer Kraft setzen und einen oder weitere alternative OCSP-Responder konfigurieren. Beispielsweise können Sie lokale OCSP-Responder für die vCenter Single Sign-On-Site einrichten, um die Anforderung des Zertifikatswiderrufs zu verarbeiten.

Hinweis: Falls OCSP für Ihr Zertifikat nicht definiert ist, aktivieren Sie stattdessen CRL (Certificate Revocation List, Zertifikatswiderrufsliste).

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 oder höher verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Platform Services Controller-Zertifikat für die Workstation des Endbenutzers vertrauenswürdig ist. Andernfalls unternimmt der Browser keinen Versuch zur Authentifizierung.
  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
    Hinweis: Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „[email protected]“, kann keine Smartcard-Authentifizierung durchführen.
  • Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.
    Option Beschreibung
    Windows Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.
    Appliance
    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.
    2. Aktivieren Sie die Appliance-Shell wie folgt: 
      shell
chsh -s "/bin/bash" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.
    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren: 
      chsh -s "/bin/appliancesh" root
  2. Zur Aktivierung der Smartcard-Authentifizierung für VMware Directory Service (vmdir) führen Sie den folgenden Befehl aus: 
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    Beispiel: 
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    Trennen Sie mehrere Zertifikate durch Kommas, aber fügen Sie nach den Kommas keine Leerzeichen ein.
  3. Führen Sie zum Deaktivieren aller anderer Authentifizierungsmethoden die folgenden Befehle aus: 
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Optional) Führen Sie zum Einrichten einer Whitelist der Zertifikatsrichtlinien den folgenden Befehl aus: 
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies
    Wenn Sie mehrere Richtlinien angeben möchten, trennen Sie diese durch ein Komma, z. B.: 
    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    In der Whitelist sind Objekt-IDs von Richtlinien angegeben, die in der Zertifikatsrichtlinienerweiterung das Zertifikat zugelassen sind. Ein X509-Zertifikat kann eine Zertifikatsrichtlinienerweiterung aufweisen.
  5. (Optional) Aktivieren und konfigurieren Sie die Überprüfung des Widerrufs mittels OCSP.
    1. Aktivieren Sie die Überprüfung des Widerrufs mittels OCSP. 
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. Wenn der Link zum OCSP-Responder nicht von der AIA-Erweiterung der Zertifikate zur Verfügung gestellt wird, geben Sie die überschreibende OCSP-Responder-URL und das Zertifikat der OCSP-Zertifizierungsstelle an.
      Das alternative OCSP wird für jede vCenter Single Sign-On-Site konfiguriert. Um ein Failover zu ermöglichen, können Sie mehrere alternative OCSP-Responder für Ihre vCenter Single Sign-On-Site angeben. 
      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Hinweis: Die Konfiguration wird standardmäßig auf die aktuelle vCenter Single Sign-On-Site angewendet. Geben Sie den Parameter siteID nur dann an, wenn Sie ein alternatives OCSP für andere vCenter Single Sign-On-Sites konfigurieren.

      Betrachten Sie das folgende Beispiel. 

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
    3. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder anzuzeigen. 
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
    4. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder zu entfernen. 
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
  6. (Optional) Führen Sie zum Auflisten der Konfigurationsinformationen den folgenden Befehl aus: 
    sso-config.[bat|sh] -get_authn_policy -t tenantName