Puede habilitar o deshabilitar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde vSphere Client.
Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.
Si se deshabilita la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de
Platform Services Controller. El siguiente comando habilita la autenticación con nombre de usuario y contraseña.
Sistema operativo | Comando |
---|---|
Windows | sso-config.bat -set_authn_policy -pwdAuthn true -t <tenant_name> Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant. |
Linux | sso-config.sh -set_authn_policy -pwdAuthn true -t <tenant_name> Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant. |
Requisitos previos
- Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller o versiones posteriores y que se esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.
- Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
- Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.
- Compruebe que el certificado de Platform Services Controller sea de confianza para la instancia de Workstation del usuario final. De lo contrario, el explorador no intentará la autenticación.
- Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
- Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
Nota: El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, [email protected]) no puede realizar la autenticación de tarjeta inteligente.
- Configure el proxy inverso y reinicie el equipo físico o la máquina virtual.
Procedimiento
Qué hacer a continuación
El entorno puede requerir una configuración de OCSP mejorada.
- Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.
- Puede configurar uno o más respondedores OCSP locales para cada sitio de Platform Services Controller en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Usar la línea de comandos para administrar la autenticación de tarjeta inteligente.