Puede habilitar o deshabilitar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde vSphere Client.

Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si se deshabilita la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de Platform Services Controller. El siguiente comando habilita la autenticación con nombre de usuario y contraseña.
Sistema operativo Comando
Windows
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Linux
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Requisitos previos

  • Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller o versiones posteriores y que se esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.
  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
    • Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que el certificado de Platform Services Controller sea de confianza para la instancia de Workstation del usuario final. De lo contrario, el explorador no intentará la autenticación.
  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
    Nota: El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, [email protected]) no puede realizar la autenticación de tarjeta inteligente.
  • Configure el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.
    Opción Descripción
    Windows Inicie sesión en la instancia de Platform Services Controller de la instalación de Windows y utilice WinSCP o una utilidad similar para copiar los archivos.
    Dispositivo
    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.
    2. Habilite el shell del dispositivo, como se indica a continuación.
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de Platform Services Controller.
    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación.
      chsh -s "/bin/appliancesh" root
  2. Inicie sesión con vSphere Client en la instancia de vCenter Server conectada a Platform Services Controller.
  3. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  4. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  5. En Autenticación de tarjeta inteligente, haga clic en Editar.
  6. Seleccione o anule la selección de los métodos de autenticación y haga clic en Guardar.
    Puede elegir la autenticación de tarjeta inteligente sola o la autenticación de tarjeta inteligente junto con la autenticación de sesión Windows y con contraseña.
    No puede habilitar o deshabilitar la autenticación de RSA SecurID desde esta interfaz web. Sin embargo, si se habilitó RSA SecurID desde la línea de comandos, el estado aparece en la interfaz web.
    Se mostrará Certificados de CA de confianza.
  7. En la pestaña Certificados de CA de confianza, haga clic en Agregar y seleccione Examinar.
  8. Seleccione todos los certificados de CA de confianza y haga clic en Agregar.

Qué hacer a continuación

El entorno puede requerir una configuración de OCSP mejorada.
  • Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.
  • Puede configurar uno o más respondedores OCSP locales para cada sitio de Platform Services Controller en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Usar la línea de comandos para administrar la autenticación de tarjeta inteligente.