Über den vSphere Client können Sie die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.
Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.
Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die
Platform Services Controller-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.
Betriebssystem | Befehl |
---|---|
Windows | sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname. |
Linux | sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname. |
Voraussetzungen
- Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 oder höher verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
- Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
- Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.
Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.
- Stellen Sie sicher, dass das Platform Services Controller-Zertifikat für die Workstation des Endbenutzers vertrauenswürdig ist. Andernfalls unternimmt der Browser keinen Versuch zur Authentifizierung.
- Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
- Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
Hinweis: Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „[email protected]“, kann keine Smartcard-Authentifizierung durchführen.
- Richten Sie den Reverse-Proxy ein und starten Sie die physische oder die virtuelle Maschine neu.
Prozedur
Nächste Maßnahme
Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.
- Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.
- Sie können einen oder mehrere lokale OCSP-Responder für jede Platform Services Controller-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung über die Befehlszeile.