Puede habilitar o deshabilitar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde la interfaz web de Platform Services Controller.

Antes de empezar

  • Compruebe que el entorno utiliza Platform Services Controller versión 6.0 Update 2 o posteriores, y que usted usa vCenter Server versión 6.0 o posteriores. Actualice los nodos versión 5.5. a la versión 6.0.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) que corresponda a una cuenta de Active Directory en la extensión del nombre alternativo de asunto (SAN).

    • La autenticación del cliente se debe especificar en el campo Directiva de aplicación o Utilización de clave mejorada de un certificado; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que el certificado de la interfaz web de ,Platform Services Controller sea un certificado confiable para la workstation del usuario final; de lo contrario, el explorador no intentará la autenticación.

  • Configure un origen de identidad de Active Directory y agréguelo a vCenter Single Sign-On como un origen de identidad.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Los usuarios luego se pueden autenticar porque están en el grupo de Active Directory y poseen privilegios de administrador de vCenter Server. El usuario administrator@vsphere.local no puede realizar la autenticación de tarjeta inteligente.

  • Si desea utilizar la solución Platform Services Controller HA en su entorno, complete toda la configuración de HA antes de configurar la autenticación de tarjeta inteligente. Consulte el artículo 2112085 (Windows) o 2113315 (vCenter Server Appliance) de la base de conocimientos de VMware.

Por qué y cuándo se efectúa esta tarea

Al configurar la autenticación de tarjeta inteligente desde la línea de comandos, siempre debe configurar primero Platform Services Controller mediante el comando sso-config. A continuación, puede realizar otras tareas mediante la interfaz web de Platform Services Controller.

  1. Configure Platform Services Controller de modo que el explorador web solicite el envío del certificado de tarjeta inteligente cuando el usuario inicie sesión.

  2. Configure la directiva de autenticación. Puede configurar la directiva mediante el script sso-config o la interfaz web de Platform Services Controller. La configuración de los tipos de autenticación admitidos y la configuración de revocación se almacenan en VMware Directory Service y se replican en todas las instancias de Platform Services Controller en un dominio de vCenter Single Sign-On.

Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si el inicio de sesión desde vSphere Web Client no funciona, y si la autenticación por nombre de usuario y contraseña está desactivada, un usuario raíz o administrador puede volver a habilitar la autenticación por nombre de usuario y contraseña desde la línea de comandos Platform Services Controller a través del siguiente comando. El ejemplo se aplica a Windows; para Linux, utilice sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.

    Opción

    Descripción

    Windows

    Inicie sesión en la instancia de Platform Services Controller de la instalación de Windows y utilice WinSCP o una utilidad similar para copiar los archivos.

    Dispositivo

    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.

    2. Habilite el shell del dispositivo, como se indica a continuación.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de Platform Services Controller.

    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación.

      chsh -s "bin/appliancesh" root
  2. En cada nodo de Platform Services Controller, configure la autenticación de tarjeta inteligente a través de la interfaz CLI de sso-config.
    1. Desplácese hasta el directorio en donde se ubica el script de sso-config.

      Opción

      Descripción

      Windows

      C:\Archivos de programa\VMware\VCenter server\VMware Identity Services

      Dispositivo

      /opt/vmware/bin

    2. Ejecute el siguiente comando:
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Por ejemplo:

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer,MySmartCA2.cer -t vsphere.local
      

      Separe los distintos certificados con comas, pero no incluya espacios después de la coma.

    3. Reinicie la máquina virtual o física.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. En un explorador web, especifique la siguiente dirección URL para conectarse a Platform Services Controller:

    https://psc_hostname_or_IP/psc

    En una implementación integrada, el nombre de host o la dirección IP de Platform Services Controller es igual al nombre de host o la dirección IP de vCenter Server.

  4. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.

    Si especificó otro dominio durante la instalación, inicie sesión como administrator@mydomain.

  5. Desplácese hasta Single Sign-On > Configuración.
  6. Haga clic en Configuración de tarjeta inteligente y seleccione la pestaña Certificados de CA confiables.
  7. Para agregar uno o más certificados de confianza, haga clic en Agregar certificado, luego haga clic en Examinar y seleccione todos los certificados de CA de confianza; por último, haga clic en Aceptar.
  8. Para especificar la configuración de autenticación, haga clic en Editar, junto a Configuración de autenticación, y seleccione o anule la selección de los métodos de autenticación.

    No puede habilitar o deshabilitar la autenticación de RSA SecurID desde esta interfaz web. Sin embargo, si se habilitó RSA SecurID desde la línea de comandos, el estado aparece en la interfaz web.