Über den vSphere Client können Sie die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen Benutzer sich mit der Smartcard-Authentifizierung anmelden.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die vCenter Server-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert.
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.
    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
  • Vergewissern Sie sich, dass der Reverse-Proxy eingerichtet ist, und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.
    1. Melden Sie sich bei der vCenter Server-Konsole entweder direkt oder mithilfe von SSH an.
    2. Aktivieren Sie die Shell wie folgt:
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem vCenter Server.
    4. Optional können Sie die Appliance-Shell wie folgt deaktivieren:
      chsh -s "/bin/appliancesh" root
  2. Melden Sie sich mit vSphere Client bei vCenter Server an.
  3. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  4. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  5. Klicken Sie auf der Registerkarte Identitätsanbieter auf Smartcard-Authentifizierung und Sie dann auf Bearbeiten.
  6. Aktivieren oder deaktivieren Sie Authentifizierungsmethoden und klicken Sie auf Speichern.
    Sie können entweder nur die Smartcard-Authentifizierung oder sowohl die Smartcard-Authentifizierung als auch die Windows-Sitzungsauthentifizierung mit Kennwort auswählen.
    Das Aktivieren bzw. Deaktivieren der RSA SecurID-Authentifizierung ist über diese Webschnittstelle nicht möglich. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.
    Die Registerkarte Zertifikate von vertrauenswürdiger Zertifizierungsstelle wird angezeigt.
  7. Klicken Sie auf der Registerkarte Zertifikate von vertrauenswürdiger Zertifizierungsstelle auf Hinzufügen und dann auf Durchsuchen.
  8. Wählen Sie alle Zertifikate von vertrauenswürdigen Zertifizierungsstellen und klicken Sie auf Hinzufügen.

Nächste Maßnahme

Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.
  • Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.
  • Sie können einen oder mehrere lokale OCSP-Responder für jede vCenter Server-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung über die Befehlszeile.