La utilidad sso-config se puede utilizar para configurar la autenticación de tarjeta inteligente desde la línea de comandos. La utilidad admite todas las tareas de configuración de tarjeta inteligente.

Antes de empezar

  • Compruebe que el entorno utiliza Platform Services Controller versión 6.0 Update 2 o posteriores, y que usted usa vCenter Server versión 6.0 o posteriores. Actualice los nodos versión 5.5. a la versión 6.0.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) que corresponda a una cuenta de Active Directory en la extensión del nombre alternativo de asunto (SAN).

    • La autenticación del cliente se debe especificar en el campo Directiva de aplicación o Utilización de clave mejorada de un certificado; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que el certificado de la interfaz web de ,Platform Services Controller sea un certificado confiable para la workstation del usuario final; de lo contrario, el explorador no intentará la autenticación.

  • Configure un origen de identidad de Active Directory y agréguelo a vCenter Single Sign-On como un origen de identidad.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Los usuarios luego se pueden autenticar porque están en el grupo de Active Directory y poseen privilegios de administrador de vCenter Server. El usuario administrator@vsphere.local no puede realizar la autenticación de tarjeta inteligente.

  • Si desea utilizar la solución Platform Services Controller HA en su entorno, complete toda la configuración de HA antes de configurar la autenticación de tarjeta inteligente. Consulte el artículo 2112085 (Windows) o 2113315 (vCenter Server Appliance) de la base de conocimientos de VMware.

Por qué y cuándo se efectúa esta tarea

Al configurar la autenticación de tarjeta inteligente desde la línea de comandos, siempre debe configurar primero Platform Services Controller mediante el comando sso-config. A continuación, puede realizar otras tareas mediante la interfaz web de Platform Services Controller.

  1. Configure Platform Services Controller de modo que el explorador web solicite el envío del certificado de tarjeta inteligente cuando el usuario inicie sesión.

  2. Configure la directiva de autenticación. Puede configurar la directiva mediante el script sso-config o la interfaz web de Platform Services Controller. La configuración de los tipos de autenticación admitidos y la configuración de revocación se almacenan en VMware Directory Service y se replican en todas las instancias de Platform Services Controller en un dominio de vCenter Single Sign-On.

Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si el inicio de sesión desde vSphere Web Client no funciona, y si la autenticación por nombre de usuario y contraseña está desactivada, un usuario raíz o administrador puede volver a habilitar la autenticación por nombre de usuario y contraseña desde la línea de comandos Platform Services Controller a través del siguiente comando. El ejemplo se aplica a Windows; para Linux, utilice sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Puede encontrar el script de sso-config en las siguientes ubicaciones:

Windows

C:\Archivos de programa\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.

    Opción

    Descripción

    Windows

    Inicie sesión en la instancia de Platform Services Controller de la instalación de Windows y utilice WinSCP o una utilidad similar para copiar los archivos.

    Dispositivo

    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.

    2. Habilite el shell del dispositivo, como se indica a continuación.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de Platform Services Controller.

    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación.

      chsh -s "bin/appliancesh" root
  2. En cada nodo de Platform Services Controller, configure la autenticación de tarjeta inteligente a través de la interfaz CLI de sso-config.
    1. Desplácese hasta el directorio en donde se ubica el script de sso-config.

      Opción

      Descripción

      Windows

      C:\Archivos de programa\VMware\VCenter server\VMware Identity Services

      Dispositivo

      /opt/vmware/bin

    2. Ejecute el siguiente comando:
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Por ejemplo:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local
      
    3. Reinicie la máquina virtual o física.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Para habilitar la autenticación de tarjeta inteligente para VMware Directory Service (vmdir), ejecute el siguiente comando.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Por ejemplo:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Si especifican varios certificados, no se permiten espacios entre los certificados.

  4. Para deshabilitar todos los otros métodos de autenticación, ejecute los siguientes comandos.
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

    Puede utilizar los siguientes comandos para habilitar y deshabilitar distintos métodos de autenticación, según sea necesario.

  5. (Opcional) : Para establecer una lista blanca de directivas de certificado, ejecute el siguiente comando.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Para especificar varias directivas, sepárelas con un comando, por ejemplo:

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    La lista blanca especifica los identificadores de objeto de las directivas que están permitidas en la extensión de directiva de certificados del certificado. Los certificados X509 pueden tener una extensión de directiva de certificados.

  6. (Opcional) : Para hacer una lista de la información de configuración, ejecute el siguiente comando.
    sso-config.[bat|sh] -get_authn_policy -t tenantName