Sie können Ihre Umgebung so einrichten, dass sich Benutzer mit einem RSA SecurID-Token anmelden müssen. Die Einrichtung von SecurID wird nur von der Befehlszeile unterstützt.

Informationen finden Sie in den zwei vSphere Blog-Beiträgen über die RSA SecurID-Einrichtung.

Hinweis: RSA Authentication Manager gibt vor, dass die Benutzer-ID ein eindeutiger Bezeichner ist, der 1 bis 255 ASCII-Zeichen enthalten kann. Das Kaufmannszeichen (&), Prozentsymbol (%), Größer als (>), Kleiner als (<) und das einfache Anführungszeichen (`) sind nicht zulässig.

Voraussetzungen

  • Beim Konfigurieren von RSA SecurID unterstützt vCenter Single Sign-On (SSO) die Nutzung des Benutzerprinzipalnamens (Attribut „userPrincipalName“) nur als Benutzer-ID, wenn Integrated Windows Authentication (IWA) als Identitätsquelle für RSA-Benutzer konfiguriert ist.
  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 oder höher verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
  • Stellen Sie sicher, dass RSA Authentication Manager in Ihrer Umgebung ordnungsgemäß konfiguriert wurde und dass Benutzer über RSA-Token verfügen. RSA Authentication Manager Version 8.0 oder höher ist erforderlich.
  • Stellen Sie sicher, dass die von RSA Manager verwendete Identitätsquelle zu vCenter Single Sign-On hinzugefügt wurde. Weitere Informationen hierzu finden Sie unter Hinzufügen oder Bearbeiten einer vCenter Single Sign On-Identitätsquelle.
  • Stellen Sie sicher, dass das RSA Authentication Manager-System den Platform Services Controller-Hostnamen auflösen kann und dass das Platform Services Controller-System den RSA Authentication Manager-Hostnamen auflösen kann.
  • Exportieren Sie die Datei sdconf.rec aus dem RSA Manager, indem Sie Zugriff > Authentifizierungsagenten > Konfigurationsdatei generieren auswählen. Dekomprimieren Sie die resultierende Datei AM_Config.zip und suchen Sie nach der Datei sdconf.rec.
  • Kopieren Sie die Datei sdconf.rec in den Platform Services Controller-Knoten.

Prozedur

  1. Wechseln Sie in das Verzeichnis, in dem sich das Skript sso-config befindet.
    Option Beschreibung
    Windows C:\Program Files\VMware\VCenter server\VMware Identity Services
    Appliance /opt/vmware/bin
  2. Führen Sie zum Aktivieren der RSA SecurID-Authentifizierung den folgenden Befehl aus: 
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy -securIDAuthn true
    tenantName ist der Name der vCenter Single Sign-On-Domäne (standardmäßig „vsphere.local“).
  3. (Optional) Führen Sie zum Deaktivieren anderer Authentifizierungsmethoden den folgenden Befehl aus: 
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Um die Umgebung so zu konfigurieren, dass der Mandant an der aktuellen Site die RSA-Site verwendet, führen Sie den folgenden Befehl aus. 
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    Beispiel: 
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    Sie können die folgenden Optionen angeben.
    Option Beschreibung
    siteID Optionale Platform Services Controller-Site-ID. Platform Services Controller unterstützt eine RSA Authentication Manager-Instanz bzw. ein Cluster pro Site. Wenn Sie diese Option nicht explizit festlegen, gilt die RSA-Konfiguration für die aktuelle Platform Services Controller-Site. Verwenden Sie diese Option nur, wenn Sie eine andere Site hinzufügen.
    agentName Definiert in RSA Authentication Manager.
    sdConfFile Kopie der Datei sdconf.rec, die aus dem RSA Manager heruntergeladen wurde und Informationen zur Konfiguration für den RSA Manager enthält, wie z. B. die IP-Adresse.
  5. (Optional) Um die Mandantenkonfiguration auf nicht standardmäßige Werte zu ändern, führen Sie den folgenden Befehl aus. 
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    Die Standardwerte sind normalerweise angemessen, z.B.: 
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Optional) Wenn Ihre Identitätsquelle nicht den Benutzerprinzipalnamen als Benutzer-ID verwendet, konfigurieren Sie die Identitätsquelle als userID-Attribut. (Wird nur bei Active Directory über LDAP-Identitätsquellen unterstützt.)

    Das Attribut „userID“ bestimmt, welches LDAP-Attribut als RSA-Benutzer-ID verwendet wird. 

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Beispiel: 
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Um die aktuellen Einstellungen anzuzeigen, führen Sie den folgenden Befehl aus. 
    sso-config.sh -t tenantName -get_rsa_config

Ergebnisse

Wenn die Authentifizierung mit Benutzername und Kennwort deaktiviert und die RSA-Authentifizierung aktiviert ist, müssen Benutzer sich mit ihrem Benutzernamen und dem RSA-Token anmelden. Die Anmeldung mit Benutzername und Kennwort ist nicht mehr möglich.

Hinweis: Verwenden Sie das Benutzernamensformat BenutzerID@Domänenname oder BenutzerID@Domänen_UPN_Suffix.