Sie können sich mit der Smartcard-Authentifizierung bei der ESXi-Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) anmelden, indem Sie eine persönliche Identitätsprüfung (Personal Identity Verification, PIV), eine allgemeine Zugriffskarte (Common Access Card, CAC) oder eine SC650-Smartcard anstelle der Eingabe eines Benutzernamens und eines Kennworts verwenden.

Eine Smartcard (Chipkarte) ist eine kleine Plastikkarte mit einem integrierten Schaltkreis (Chip). Viele staatliche Behörden und große Unternehmen verwenden eine auf Smartcards basierende Zwei-Faktor-Authentifizierung, um die Sicherheit ihrer Systeme zu erhöhen und bestehende Sicherheitsbestimmungen zu erfüllen.

Wenn die Smartcard-Authentifizierung auf einem ESXi-Host aktiviert ist, werden Sie von der DCUI zur Eingabe einer Smartcard und einer PIN-Kombination anstelle des standardmäßigen Benutzernamens und Kennworts aufgefordert.

  1. Wenn Sie die Smartcard in den Kartenleser stecken, liest der ESXi-Host die darauf gespeicherten Anmeldedaten.
  2. Die ESXi-DCUI zeigt Ihre Anmeldekennung an und fordert Sie zur Eingabe Ihrer PIN auf.
  3. Nach der Eingabe Ihrer PIN vergleicht der ESXi-Host sie mit der auf der Smartcard gespeicherten PIN und überprüft das Zertifikat auf der Smartcard mit Active Directory.
  4. Nach erfolgreicher Prüfung des Smartcard-Zertifikats schließt ESXi die Anmeldung bei der DCUI ab.

Sie können durch Drücken von F3 zur Benutzernamen- und Kennwort-Authentifizierung über die DCUI wechseln.

Nach einigen aufeinanderfolgenden falschen PIN-Eingaben (gewöhnlich drei) wird die Smartcard gesperrt. Eine gesperrte Smartcard kann nur von ausgewähltem Personal entsperrt werden.

Aktivieren der Smartcard-Authentifizierung

Aktivieren Sie die Smartcard-Authentifizierung, um eine Chipkarte und eine PIN-Kombination zum Anmelden bei der ESXi-DCUI zu verlangen.

Voraussetzungen

  • Richten Sie die Infrastruktur zur Smartcard-Authentifizierung ein, wie beispielsweise Konten in der Active Directory-Domäne, Smartcard-Lesegeräte und Smartcards.
  • Konfigurieren Sie ESXi für den Beitritt zu einer Active Directory-Domäne, die die Smartcard-Authentifizierung unterstützt. Weitere Informationen finden Sie unter Verwenden von Active Directory zum Verwalten von ESXi-Benutzern.
  • Verwenden Sie den vSphere Client zum Hinzufügen von Stammzertifikaten. Weitere Informationen hierzu finden Sie unter Verwalten von Zertifikaten für ESXi-Hosts.

Prozedur

  1. Navigieren Sie zum Host im Navigator des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie unter „System“ die Option Authentifizierungsdienste.
    Der aktuelle Status der Smartcard-Authentifizierung und eine Liste mit importierten Zertifikaten werden angezeigt.
  4. Klicken Sie im Fensterbereich „Smartcard-Authentifizierung“ auf Bearbeiten.
  5. Wählen Sie im Dialogfeld zum Bearbeiten der Smartcard-Authentifizierung die Seite für Zertifikate aus.
  6. Fügen Sie vertrauenswürdige CA-Zertifikate hinzu, zum Beispiel Zertifikate von Root- und zwischengeschalteten Zertifizierungsstellen (CA).
    Zertifikate müssen im PEM-Format sein.
  7. Öffnen Sie die Seite „Smartcard-Authentifizierung“, aktivieren Sie das Kontrollkästchen Smartcard-Authentifizierung aktivieren und klicken Sie auf OK.

Deaktivieren der Smartcard-Authentifizierung

Deaktivieren Sie die Smartcard-Authentifizierung, um zur standardmäßigen Authentifizierung mit Benutzernamen und Kennwort bei der ESXi-DCUI-Anmeldung zurückzukehren.

Prozedur

  1. Navigieren Sie zum Host im Navigator des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie unter „System“ die Option Authentifizierungsdienste.
    Der aktuelle Status der Smartcard-Authentifizierung und eine Liste mit importierten Zertifikaten werden angezeigt.
  4. Klicken Sie im Fensterbereich „Smartcard-Authentifizierung“ auf Bearbeiten.
  5. Deaktivieren Sie auf der Seite „Smartcard-Authentifizierung“ das Kontrollkästchen Smartcard-Authentifizierung aktivieren und klicken Sie auf OK.

Authentifizieren mit Benutzernamen und Kennwort bei Verbindungsproblemen

Sollte der Active Directory-(AD-)Domänenserver nicht erreichbar sein, können Sie sich bei der ESXi-DCUI mit Benutzername-und-Kennwort-Authentifizierung anmelden und Notfallmaßnahmen auf dem Host ergreifen.

In Ausnahmefällen kann es vorkommen, dass der AD-Domänenserver aufgrund von Verbindungsproblemen, Netzwerkausfällen oder Naturkatastrophen nicht erreichbar ist und die Benutzeranmeldedaten auf der Smartcard nicht authentifiziert werden können. In diesem Fall können Sie sich bei der ESXi-DCUI mit den Anmeldeinformationen eines lokalen ESXi-Administratorbenutzers anmelden. Nach der Anmeldung können Sie Diagnosen oder andere Notfallmaßnahmen durchführen. Der Fallback auf die Anmeldung mit Benutzernamen und Kennwort wird im Protokoll vermerkt. Sobald die Verbindung mit AD wieder hergestellt ist, ist auch die Smartcard-Authentifizierung wieder verfügbar.

Hinweis: Der Verlust der Netzwerkverbindung zu vCenter Server hat keinen Einfluss auf die Smartcard-Authentifizierung, solange der Active Directory-Domänenserver verfügbar bleibt.

Verwenden der Smartcard-Authentifizierung im Sperrmodus

Wenn aktiviert, erhöht der Sperrmodus auf dem ESXi-Host die Sicherheit des Hosts und beschränkt den Zugriff auf die DCUI. Der Sperrmodus kann dazu führen, dass die Smartcard-Authentifizierung nicht mehr funktioniert.

Im normalen Sperrmodus haben nur Benutzer, die Administratorrechte besitzen und in der Liste der ausgenommenen Benutzer geführt werden, Zugriff auf die DCUI. Ausgenommene Benutzer sind lokale Hostbenutzer oder Active Directory-Benutzer mit lokal für den ESXi-Host definierten Rechten. Wenn Sie die Smartcard-Authentifizierung auch im normalen Sperrmodus nutzen möchten, müssen Sie Benutzer mithilfe des vSphere Client in die Liste der ausgenommenen Benutzer aufnehmen. Diese Benutzer behalten ihre Berechtigungen auch dann, wenn der Host in den normalen Sperrmodus versetzt wird, und können sich auch weiterhin bei der DCUI anmelden. Weitere Informationen finden Sie unter Angeben der Benutzerausnahmen für den Sperrmodus.

Im strengen Sperrmodus wird der DCUI-Dienst beendet. Daher ist auch kein Zugriff auf den Host über Smartcard-Authentifizierung möglich.