Über den vSphere Client können Sie die Smartcard-Authentifizierung aktivieren und deaktivieren, das Anmelde-Banner anpassen und die Widerrufsrichtlinie einrichten.

Wenn die Smartcard-Authentifizierung aktiviert ist und andere Authentifizierungsmethoden deaktiviert sind, müssen sich Benutzer mithilfe der Smartcard-Authentifizierung anmelden.

Wenn die Authentifizierung über den Benutzernamen und das Kennwort deaktiviert ist und falls Probleme mit der Smartcard-Authentifizierung auftreten, können sich die Benutzer nicht anmelden. In diesem Fall kann ein Root-Benutzer oder ein Administrator die Authentifizierung über den Benutzernamen und das Kennwort über die vCenter Server-Befehlszeile aktivieren. Mit dem folgenden Befehl wird die Authentifizierung über den Benutzernamen und das Kennwort aktiviert. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
  • Vergewissern Sie sich, dass der Reverse-Proxy eingerichtet ist, und starten Sie die physische oder die virtuelle Maschine neu.

Prozedur

  1. Beziehen Sie die Zertifikate und kopieren Sie diese in einen Ordner, der für das sso-config-Dienstprogramm angezeigt wird.
    1. Melden Sie sich bei der vCenter Server-Konsole entweder direkt oder mithilfe von SSH an.
    2. Aktivieren Sie die Shell wie folgt: 
      Command> shell
chsh -s "/bin/bash" root
chsh -s "bin/appliancesh" root
    3. Kopieren Sie die Zertifikate mithilfe von WinSCP oder einem ähnlichen Dienstprogramm in das Verzeichnis /usr/lib/vmware-sso/vmware-sts/conf auf dem vCenter Server.
    4. Sie können die Shell optional folgendermaßen deaktivieren: 
      chsh -s "/bin/appliancesh" root
  2. Melden Sie sich mit vSphere Client bei vCenter Server an.
  3. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  4. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  5. Klicken Sie auf der Registerkarte Identitätsanbieter auf Smartcard-Authentifizierung und Sie dann auf Bearbeiten.
  6. Aktivieren oder deaktivieren Sie Authentifizierungsmethoden und klicken Sie auf Speichern.
    Sie können die RSA SecurID-Authentifizierung über diese Webschnittstelle nicht aktivieren oder deaktivieren. Wenn RSA SecurID jedoch über die Befehlszeile aktiviert wurde, wird der Status in der Webschnittstelle angezeigt.
    Die Registerkarte Vertrauenswürdige CA-Zertifikate wird angezeigt.
  7. Auf der Registerkarte Vertrauenswürdige CA-Zertifikate:
    1. Klicken Sie auf Hinzufügen und anschließend auf Durchsuchen.
    2. Wählen Sie ein vertrauenswürdiges CA-Zertifikat aus und klicken Sie auf Hinzufügen.
  8. Wiederholen Sie Schritt 7, um zusätzliche vertrauenswürdige CA-Zertifikate hinzuzufügen.

Nächste Maßnahme

Möglicherweise ist in Ihrer Umgebung die erweiterte OCSP-Konfiguration erforderlich.
  • Falls Ihre OCSP-Antwort von einer anderen Zertifizierungsstelle als der signierenden Zertifizierungsstelle der Smartcard ausgegeben wird, geben Sie das OCSP-Signaturzertifikat der Zertifizierungsstelle an.
  • Sie können einen oder mehrere lokale OCSP-Responder für jede vCenter Server-Site in einer Umgebung mit mehreren Sites konfigurieren. Diese alternativen OCSP-Responder können über die CLI konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwalten der Smartcard-Authentifizierung mithilfe der CLI.