Puede habilitar o deshabilitar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde la interfaz web de Platform Services Controller.

Por qué y cuándo se efectúa esta tarea

Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si se deshabilita la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de Platform Services Controller. El siguiente comando habilita la autenticación con nombre de usuario y contraseña.

Sistema operativo

Comando

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Requisitos

  • Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller, y que usted esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (SAN).

    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que la estación de trabajo del usuario final confíe en el certificado de la interfaz web de Platform Services Controller. De lo contrario, el navegador no realizará la autenticación.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.

    Nota:

    El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, administrator@vsphere.local) no puede realizar la autenticación de tarjeta inteligente.

  • Configure el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.

    Opción

    Descripción

    Windows

    Inicie sesión en la instancia de Platform Services Controller de la instalación de Windows y utilice WinSCP o una utilidad similar para copiar los archivos.

    Dispositivo

    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.

    2. Habilite el shell del dispositivo, como se indica a continuación.

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de Platform Services Controller.

    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación.

      chsh -s "bin/appliancesh" root
  2. En un explorador web, conéctese a vSphere Web Client o Platform Services Controller.

    Opción

    Descripción

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    En una implementación integrada, el nombre de host o la dirección IP de Platform Services Controller es igual al nombre de host o la dirección IP de vCenter Server.

  3. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.

    Si especificó otro dominio durante la instalación, inicie sesión como administrator@mydomain.

  4. Desplácese hasta la interfaz de usuario de configuración de vCenter Single Sign-On.

    Opción

    Descripción

    vSphere Web Client

    1. En el menú Inicio, seleccione Administración.

    2. En Single Sign-On, haga clic en Configuración.

    Platform Services Controller

    Haga clic en Single Sign-On y, a continuación, en Configuración.

  5. Haga clic en Configuración de tarjeta inteligente y seleccione la pestaña Certificados de CA confiables.
  6. Para agregar uno o más certificados de confianza, haga clic en Agregar certificado, luego haga clic en Examinar y seleccione todos los certificados de CA de confianza; por último, haga clic en Aceptar.
  7. Para especificar la configuración de autenticación, haga clic en Editar, junto a Configuración de autenticación, y seleccione o anule la selección de los métodos de autenticación.

    No puede habilitar o deshabilitar la autenticación de RSA SecurID desde esta interfaz web. Sin embargo, si se habilitó RSA SecurID desde la línea de comandos, el estado aparece en la interfaz web.

Qué hacer a continuación

El entorno puede requerir una configuración de OCSP mejorada.

  • Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.

  • Puede configurar uno o más respondedores OCSP locales para cada sitio de Platform Services Controller en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Usar la línea de comandos para administrar la autenticación de tarjeta inteligente.