Über den vSphere Client können Sie die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.
Betriebssystem Befehl
Windows
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Linux
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 oder höher verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.
    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Platform Services Controller-Zertifikat für die Workstation des Endbenutzers vertrauenswürdig ist. Andernfalls unternimmt der Browser keinen Versuch zur Authentifizierung.
  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
    Hinweis: Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „[email protected]“, kann keine Smartcard-Authentifizierung durchführen.
  • Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.
    Option Beschreibung
    Windows Melden Sie sich bei der Platform Services Controller-Windows-Installation an und verwenden Sie WinSCP oder ein ähnliches Dienstprogramm, um die Dateien zu kopieren.
    Appliance
    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.
    2. Aktivieren Sie die Appliance-Shell wie folgt:
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem Platform Services Controller.
    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:
      chsh -s "/bin/appliancesh" root
  2. Melden Sie sich mit dem vSphere Client beim vCenter Server an, der mit dem Platform Services Controller verbunden ist.
  3. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  4. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  5. Klicken Sie unter Smartcard-Authentifizierung auf Bearbeiten.
  6. Aktivieren oder deaktivieren Sie Authentifizierungsmethoden und klicken Sie auf Speichern.
    Sie können entweder nur die Smartcard-Authentifizierung oder sowohl die Smartcard-Authentifizierung als auch die Windows-Sitzungsauthentifizierung mit Kennwort auswählen.
    Das Aktivieren bzw. Deaktivieren der RSA SecurID-Authentifizierung ist über diese Webschnittstelle nicht möglich. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.
    Die Registerkarte Zertifikate von vertrauenswürdiger Zertifizierungsstelle wird angezeigt.
  7. Klicken Sie auf der Registerkarte Zertifikate von vertrauenswürdiger Zertifizierungsstelle auf Hinzufügen und dann auf Durchsuchen.
  8. Wählen Sie alle Zertifikate von vertrauenswürdigen Zertifizierungsstellen und klicken Sie auf Hinzufügen.

Nächste Maßnahme

Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.
  • Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.
  • Sie können einen oder mehrere lokale OCSP-Responder für jede Platform Services Controller-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung über die Befehlszeile.