Se puede configurar el entorno de manera que se solicite a los usuarios iniciar sesión con un token RSA SecurID en lugar de con una contraseña. La configuración de SecurID solo es compatible desde la línea de comandos.

Antes de empezar

  • Compruebe que el entorno esté utilizando Platform Services Controller versión 6.0 Update 2 o posteriores, y que se esté utilizando vCenter Server versión 6.0 o posteriores. Actualice los nodos versión 5.5. a la versión 6.0.

  • Compruebe que RSA Authentication Manager se haya configurado correctamente en el entorno y que los usuarios disponen de tokens RSA.Compruebe que RSA Authentication Manager se haya configurado correctamente en el entorno y que los usuarios dispongan de tokens RSA. Se requiere RSA Authentication Manager versión 8.0 o posterior.

  • Compruebe que el origen de identidad que utiliza RSA Manager se haya agregado a vCenter Single Sign-On. Consulte Agregar un origen de identidad de vCenter Single Sign-On.

  • Compruebe que el sistema RSA Authentication Manager pueda resolver el nombre de host de Platform Services Controller y que el sistema Platform Services Controller pueda resolver el nombre de host de RSA Authentication Manager.

  • Exporte el archivo sdconf.rec desde la instancia de RSA Manager seleccionando Acceso > Agentes de autenticación > Generar archivo de configuración. Descomprima el archivo AM_Config.zip resultante para buscar el archivo sdconf.rec.

  • Copie el archivo sdconf.rec en el nodo Platform Services Controller.

Por qué y cuándo se efectúa esta tarea

Para obtener más información, consulte las dos publicaciones del blog de vSphere sobre la configuración de RSA SecurID.

Nota:

RSA Authentication Manager requiere que el identificador de usuario sea único, y que utilice entre 1 y 255 caracteres ASCII. Los caracteres Y comercial (&), porcentaje (%), mayor que (>), menor que (<) y apóstrofo (`) no están permitidos.

Procedimiento

  1. Pase al directorio donde se ubica el script de sso-config.

    Opción

    Descripción

    Windows

    C:\Archivos de programa\VMware\VCenter server\VMware Identity Services

    Dispositivo

    /opt/vmware/bin

  2. Para habilitar la autenticación de RSA SecurID, ejecute el siguiente comando.
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName es el nombre del dominio vCenter Single Sign-On, vsphere.local en forma predeterminada.

  3. (Opcional) : Para deshabilitar otros métodos de autenticación, ejecute el siguiente comando.
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Para configurar el entorno de forma que el tenant del sitio actual utilice el sitio de RSA, ejecute el siguiente comando.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    Por ejemplo:

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    Puede especificar las siguientes opciones.

    Opción

    Descripción

    siteID

    Identificador opcional del sitio de Platform Services Controller. Platform Services Controller admite una instancia de RSA Authentication Manager o clúster por sitio. Si no especifica esta opción de manera explícita, la configuración de RSA se destina al sitio de Platform Services Controller actual. Solo utilice esta opción si desea agregar un sitio diferente.

    agentName

    Definido en RSA Authentication Manager.

    sdConfFile

    Copia del archivo Se descargó una copia del archivo sdconfig.rec descargado desde RSA Manager, que incluye información de configuración de RSA Manager (por ejemplo, la dirección IP).descargado desde RSA Manager, que incluye información de configuración de RSA Manager (por ejemplo, la dirección IP).

  5. (Opcional) : Para cambiar la configuración del tenant para que utilice valores distintos a los predeterminados, ejecute el siguiente comando.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    El valor predeterminado suele ser adecuado, por ejemplo:

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Opcional) : Si el origen de identidad no utiliza el nombre de entidad de seguridad de usuario como identificador del usuario, configure el atributo userID del origen de identidad.Si el origen de identidad no utiliza el nombre principal de usuario como identificador del usuario, configure el atributo userID del origen de identidad.

    El atributo userID determina qué atributo LDAP se utiliza como userID en RSA.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    Por ejemplo:

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Para mostrar la configuración actual, ejecute el siguiente comando.
    sso-config.sh -t tenantName -get_rsa_config

Resultados

Si la autenticación por nombre de usuario y contraseña está no está habilitada, pero la autenticación del token SecurID sí lo está, los usuarios deberán iniciar sesión con el nombre de usuario y el token SecurID.Si la autenticación por nombre de usuario y contraseña no está habilitada, pero la autenticación del token SecurID sí lo está, los usuarios deberán iniciar sesión con el nombre de usuario y el token SecurID. Ya no es posible iniciar sesión con el nombre de usuario y la contraseña.