Puede habilitar o deshabilitar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde vSphere Client.

Si se habilita la autenticación de tarjeta inteligente y se deshabilitan otros métodos de autenticación, se solicitará a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si se deshabilita la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de vCenter Server. El siguiente comando habilita la autenticación con nombre de usuario y contraseña. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Requisitos previos

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
    • Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).

    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de clave; de lo contrario, el explorador no mostrará el certificado.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
  • Asegúrese de haber configurado el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.
    1. Inicie sesión en la consola de vCenter Server, ya sea directamente o a través de SSH.
    2. Habilite el shell como se indica a continuación. 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en el directorio /usr/lib/vmware-sso/vmware-sts/conf en la instancia de vCenter Server.
    4. Opcionalmente, deshabilite el shell del dispositivo, como se indica a continuación. 
      chsh -s "/bin/appliancesh" root
  2. Inicie sesión con vSphere Client en vCenter Server.
  3. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  4. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  5. En la pestaña Proveedor de identidad, haga clic en Autenticación de tarjeta inteligente y, a continuación, haga clic en Editar.
  6. Seleccione o anule la selección de los métodos de autenticación y haga clic en Guardar.
    Puede elegir la autenticación de tarjeta inteligente sola o la autenticación de tarjeta inteligente junto con la autenticación de sesión Windows y con contraseña.
    No puede habilitar o deshabilitar la autenticación de RSA SecurID desde esta interfaz web. Sin embargo, si se habilitó RSA SecurID desde la línea de comandos, el estado aparece en la interfaz web.
    Se mostrará Certificados de CA de confianza.
  7. En la pestaña Certificados de CA de confianza, haga clic en Agregar y seleccione Examinar.
  8. Seleccione todos los certificados de CA de confianza y haga clic en Agregar.

Qué hacer a continuación

El entorno puede requerir una configuración de OCSP mejorada.
  • Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.
  • Puede configurar uno o más respondedores OCSP locales para cada sitio de vCenter Server en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Usar la línea de comandos para administrar la autenticación de tarjeta inteligente.