Se puede configurar el entorno de manera que se solicite a los usuarios iniciar sesión con un token RSA SecurID. La configuración de SecurID solo es compatible desde la línea de comandos.

Para obtener más información, consulte las dos publicaciones del blog de vSphere sobre la configuración de RSA SecurID.

Nota: RSA Authentication Manager requiere que el identificador de usuario sea único, y que utilice entre 1 y 255 caracteres ASCII. Los caracteres Y comercial (&), porcentaje (%), mayor que (>), menor que (<) y apóstrofo (`) no están permitidos.

Requisitos previos

  • Al configurar RSA SecurID, vCenter Single Sign-On (SSO) admite el uso del nombre principal de usuario (atributo userPrincipalName) como el identificador de usuario solo cuando la autenticación integrada de Windows (Integrated Windows Authentication, IWA) está configurada como un origen de identidad para los usuarios de RSA.
  • Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller o versiones posteriores y que se esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.
  • Compruebe que RSA Authentication Manager se haya configurado correctamente en el entorno y que los usuarios disponen de tokens RSA.Compruebe que RSA Authentication Manager se haya configurado correctamente en el entorno y que los usuarios dispongan de tokens RSA. Se requiere RSA Authentication Manager versión 8.0 o posterior.
  • Compruebe que el origen de identidad que utiliza RSA Manager se haya agregado a vCenter Single Sign-On. Consulte Agregar o editar un origen de identidad vCenter Single Sign-On.
  • Compruebe que el sistema RSA Authentication Manager pueda resolver el nombre de host de Platform Services Controller y que el sistema Platform Services Controller pueda resolver el nombre de host de RSA Authentication Manager.
  • Exporte el archivo sdconf.rec desde la instancia de RSA Manager seleccionando Acceso > Agentes de autenticación > Generar archivo de configuración. Descomprima el archivo AM_Config.zip resultante para buscar el archivo sdconf.rec.
  • Copie el archivo sdconf.rec en el nodo Platform Services Controller.

Procedimiento

  1. Pase al directorio donde se ubica el script de sso-config.
    Opción Descripción
    Windows C:\Archivos de programa\VMware\VCenter server\VMware Identity Services
    Dispositivo /opt/vmware/bin
  2. Para habilitar la autenticación de RSA SecurID, ejecute el siguiente comando.
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy -securIDAuthn true
    tenantName es el nombre del dominio vCenter Single Sign-On, vsphere.local de forma predeterminada.
  3. (opcional) Para deshabilitar otros métodos de autenticación, ejecute el siguiente comando.
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Para configurar el entorno de forma que el tenant del sitio actual utilice el sitio de RSA, ejecute el siguiente comando.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    
    Por ejemplo:
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    
    Puede especificar las siguientes opciones.
    Opción Descripción
    siteID Identificador opcional del sitio de Platform Services Controller. Platform Services Controller admite una instancia de RSA Authentication Manager o clúster por sitio. Si no especifica esta opción de manera explícita, la configuración de RSA se destina al sitio de Platform Services Controller actual. Solo utilice esta opción si desea agregar un sitio diferente.
    agentName Definido en RSA Authentication Manager.
    sdConfFile Copia del archivo sdconfig.rec que se descargó de RSA Manager, el cual incluye la información de configuración de RSA Manager (por ejemplo, la dirección IP).
  5. (opcional) Para cambiar la configuración del tenant para que utilice valores distintos a los predeterminados, ejecute el siguiente comando.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    
    El valor predeterminado suele ser adecuado, por ejemplo:
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (opcional) Si el origen de identidad no utiliza el nombre principal de usuario como identificador del usuario, configure el atributo userID del origen de identidad. (Compatible solo con orígenes de identidad de Active Directory en LDAP).

    El atributo userID determina qué atributo LDAP se utiliza como userID en RSA.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Por ejemplo:
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Para mostrar la configuración actual, ejecute el siguiente comando.
    sso-config.sh -t tenantName -get_rsa_config

Resultados

Si la autenticación por nombre de usuario y contraseña no está habilitada, pero la autenticación de RSA sí lo está, los usuarios deben iniciar sesión con el nombre de usuario y el token RSA. Ya no es posible iniciar sesión con el nombre de usuario y la contraseña.

Nota: Use el formato de nombre de usuario userID@domainName o userID@domain_upn_suffix.