Sie können das Dienstprogramm sso-config verwenden, um die Smartcard-Authentifizierung über die Befehlszeile zu verwalten. Das Dienstprogramm unterstützt alle Smartcard- Konfigurationsaufgaben.

Das sso-config-Skript befindet sich in folgendem Verzeichnis: 
/opt/vmware/bin/sso-config.sh

Die Konfiguration von unterstützten Authentifizierungstypen und Widerrufseinstellungen wird in VMware Directory Service gespeichert und über alle vCenter Server-Instanzen einer vCenter Single Sign-On-Domäne hinweg repliziert.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die vCenter Server-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Wenn Sie den Standardmandanten verwenden, verwenden Sie „vsphere.local“ als Mandantenname.

Wenn Sie OCSP für den Zertifikatswiderruf verwenden, können Sie das in der AIA-Erweiterung des Smartcard-Zertifikats angegebene Standard-OCSP nutzen. Sie können die Standardeinstellung auch außer Kraft setzen und einen oder weitere alternative OCSP-Responder konfigurieren. Beispielsweise können Sie lokale OCSP-Responder für die vCenter Single Sign-On-Site einrichten, um die Anforderung des Zertifikatswiderrufs zu verarbeiten.

Hinweis: Falls OCSP für Ihr Zertifikat nicht definiert ist, aktivieren Sie stattdessen CRL (Certificate Revocation List, Zertifikatswiderrufsliste).

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
  • Vergewissern Sie sich, dass der Reverse-Proxy eingerichtet ist, und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.
    1. Melden Sie sich bei der Appliance-Konsole entweder direkt oder mithilfe von SSH an.
    2. Aktivieren Sie die Appliance-Shell wie folgt: 
      shell
chsh -s "/bin/bash" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem vCenter Server.
    4. Sie können die Shell optional folgendermaßen deaktivieren. 
      chsh -s "/bin/appliancesh" root
  2. Führen Sie zum Aktivieren der Smartcard-Authentifizierung den folgenden Befehl aus. 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    Beispiel: 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    Trennen Sie mehrere Zertifikate durch Kommas, aber fügen Sie nach den Kommas keine Leerzeichen ein.
  3. Führen Sie zum Deaktivieren aller anderer Authentifizierungsmethoden die folgenden Befehle aus: 
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Optional) Führen Sie zum Einrichten einer Positivliste mit Zertifikatsrichtlinien den folgenden Befehl aus: 
    sso-config.sh -set_authn_policy -certPolicies policies
    Wenn Sie mehrere Richtlinien angeben möchten, trennen Sie diese durch ein Komma, z. B.: 
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    In der Positivliste sind Objekt-IDs von Richtlinien angegeben, die in der Zertifikatsrichtlinienerweiterung des Zertifikats zulässig sind. Ein X509-Zertifikat kann eine Zertifikatsrichtlinienerweiterung aufweisen.
  5. (Optional) Aktivieren und konfigurieren Sie die Überprüfung des Widerrufs mittels OCSP.
    1. Aktivieren Sie die Überprüfung des Widerrufs mittels OCSP. 
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Wenn der Link zum OCSP-Responder nicht von der AIA-Erweiterung der Zertifikate zur Verfügung gestellt wird, geben Sie die überschreibende OCSP-Responder-URL und das Zertifikat der OCSP-Zertifizierungsstelle an.
      Das alternative OCSP wird für jede vCenter Single Sign-On-Site konfiguriert. Um ein Failover zu ermöglichen, können Sie mehrere alternative OCSP-Responder für Ihre vCenter Single Sign-On-Site angeben. 
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Hinweis: Die Konfiguration wird standardmäßig auf die aktuelle vCenter Single Sign-On-Site angewendet. Geben Sie den Parameter siteID nur dann an, wenn Sie ein alternatives OCSP für andere vCenter Single Sign-On-Sites konfigurieren.

      Betrachten Sie das folgende Beispiel. 

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
    3. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder anzuzeigen. 
      sso-config.sh -t tenantName -get_alt_ocsp]
    4. Führen Sie diesen Befehl aus, um die aktuellen Einstellungen für alternative OCSP-Responder zu entfernen. 
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
  6. (Optional) Führen Sie zum Auflisten der Konfigurationsinformationen den folgenden Befehl aus: 
    sso-config.sh -get_authn_policy -t tenantName