La utilidad sso-config se puede utilizar para administrar la autenticación de tarjeta inteligente desde la línea de comandos. La utilidad admite todas las tareas de configuración de tarjeta inteligente.

Por qué y cuándo se efectúa esta tarea

Puede encontrar el script de sso-config en las siguientes ubicaciones:

Windows

C:\Archivos de programa\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

La configuración de los tipos de autenticación admitidos y la configuración de revocación se almacenan en VMware Directory Service y se replican en todas las instancias de Platform Services Controller en un dominio de vCenter Single Sign-On.

Si se deshabilita la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de Platform Services Controller. El siguiente comando habilita la autenticación con nombre de usuario y contraseña.

Sistema operativo

Comando

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Si utiliza OCSP para la comprobación de revocación, puede basarse en el OCSP predeterminado que se especificó en la extensión AIA del certificado de tarjeta inteligente. También se puede anular la opción predeterminada y configurar uno o más respondedores OCSP alternativos. Por ejemplo, se pueden configurar respondedores OCSP locales en el sitio de vCenter Single Sign-On para procesar la solicitud de comprobación de revocación.

Nota:

Si el certificado no tiene un OCSP definido, habilite en cambio la CRL (lista de revocación de certificados).

Requisitos

  • Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller, y que usted esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (SAN).

    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que la estación de trabajo del usuario final confíe en el certificado de la interfaz web de Platform Services Controller. De lo contrario, el navegador no realizará la autenticación.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.

    Nota:

    El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, administrator@vsphere.local) no puede realizar la autenticación de tarjeta inteligente.

  • Configure el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.

    Opción

    Descripción

    Windows

    Inicie sesión en la instancia de Platform Services Controller de la instalación de Windows y utilice WinSCP o una utilidad similar para copiar los archivos.

    Dispositivo

    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.

    2. Habilite el shell del dispositivo, como se indica a continuación.

      shell
      chsh -s "/bin/bash" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de Platform Services Controller.

    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación.

      chsh -s "bin/appliancesh" root
  2. Para habilitar la autenticación de tarjeta inteligente para VMware Directory Service (vmdir), ejecute el siguiente comando.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Por ejemplo:

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Separe los distintos certificados con comas, pero no incluya espacios después de la coma.

  3. Para deshabilitar todos los otros métodos de autenticación, ejecute los siguientes comandos.
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Opcional) : Para establecer una lista blanca de directivas de certificado, ejecute el siguiente comando.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Para especificar varias directivas, sepárelas con un comando, por ejemplo:

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    La lista blanca especifica los identificadores de objeto de las directivas que están permitidas en la extensión de directiva de certificados del certificado. Los certificados X509 pueden tener una extensión de directiva de certificados.

  5. (Opcional) : Active y configure la comprobación de revocación mediante OCSP.
    1. Active la comprobación de revocación mediante OCSP.
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. Si el vínculo del respondedor OCSP no se proporciona mediante la extensión AIA de los certificados, proporcione la URL del respondedor OCSP de anulación y el certificado de autoridad de OCSP.

      El OCSP alternativo se configura para cada sitio de vCenter Single Sign-On. Es posible especificar más de un respondedor OCSP alternativo para el sitio de vCenter Single Sign-On de modo que permita la conmutación por error.

      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer

      Nota:

      La configuración se aplica al sitio actual de vCenter Single Sign-On de forma predeterminada. Especifique el parámetro siteID únicamente si se configura un OCSP alternativo para otros sitios de vCenter Single Sign-On.

      Tenga en cuenta el ejemplo siguiente:

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP reponder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. Para mostrar la configuración del respondedor OCSP alternativo actual, ejecute este comando.
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
      
    4. Para quitar la configuración del respondedor OCSP alternativo actual, ejecute este comando.
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (Opcional) : Para hacer una lista de la información de configuración, ejecute el siguiente comando.
    sso-config.[bat|sh] -get_authn_policy -t tenantName