La utilidad sso-config se puede utilizar para administrar la autenticación de tarjeta inteligente desde la línea de comandos. La utilidad admite todas las tareas de configuración de tarjeta inteligente.

Puede encontrar el script de sso-config en la siguiente ubicación:
/opt/vmware/bin/sso-config.sh

La configuración de los tipos de autenticación admitidos y la configuración de revocación se almacenan en VMware Directory Service y se replican en todas las instancias de vCenter Server en un dominio de vCenter Single Sign-On.

Si se desactiva la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de vCenter Server. El siguiente comando activa la autenticación con nombre de usuario y contraseña.
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Si utiliza el tenant predeterminado, use vsphere.local como nombre de tenant.

Si utiliza OCSP para la comprobación de revocación, puede basarse en el OCSP predeterminado que se especificó en la extensión AIA del certificado de tarjeta inteligente. También se puede anular la opción predeterminada y configurar uno o más respondedores OCSP alternativos. Por ejemplo, se pueden configurar respondedores OCSP locales en el sitio de vCenter Single Sign-On para procesar la solicitud de comprobación de revocación.

Nota: Si el certificado no tiene un OCSP definido, habilite en cambio la CRL (lista de revocación de certificados).

Requisitos previos

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
    • Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de clave; de lo contrario, el explorador no mostrará el certificado.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
  • Asegúrese de haber configurado el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.
    1. Inicie sesión en la consola de dispositivos, ya sea directamente o a través de SSH.
    2. Active el shell del dispositivo de la siguiente manera.
      shell
      chsh -s "/bin/bash" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en /usr/lib/vmware-sso/vmware-sts/conf en la instancia de vCenter Server.
    4. Opcionalmente desactive el shell de la siguiente manera.
      chsh -s "/bin/appliancesh" root
  2. Para activar la autenticación de carrito inteligente, ejecute el siguiente comando.
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    
    Por ejemplo:
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    
    Separe los distintos certificados con comas, pero no incluya espacios después de la coma.
  3. Para desactivar todos los demás métodos de autenticación, ejecute los siguientes comandos.
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (opcional) Para establecer una lista de permitidos de directivas de certificado, ejecute el siguiente comando.
    sso-config.sh -set_authn_policy -certPolicies policies
    Para especificar varias directivas, sepárelas con una coma, por ejemplo:
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    La lista de permitidos especifica los identificadores de objeto de las directivas que están permitidas en la extensión de directiva de certificados del certificado. Los certificados X509 pueden tener una extensión de directiva de certificados.
  5. (opcional) Active y configure la comprobación de revocación mediante OCSP.
    1. Active la comprobación de revocación mediante OCSP.
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Si el vínculo del respondedor OCSP no se proporciona mediante la extensión AIA de los certificados, proporcione la URL del respondedor OCSP de anulación y el certificado de autoridad de OCSP.
      El OCSP alternativo se configura para cada sitio de vCenter Single Sign-On. Es posible especificar más de un respondedor OCSP alternativo para el sitio de vCenter Single Sign-On de modo que permita la conmutación por error.
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Nota: La configuración se aplica al sitio actual de vCenter Single Sign-On de forma predeterminada. Especifique el parámetro siteID únicamente si se configura un OCSP alternativo para otros sitios de vCenter Single Sign-On.

      Tenga en cuenta el ejemplo siguiente:

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP responder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. Para mostrar la configuración del respondedor OCSP alternativo actual, ejecute este comando.
      sso-config.sh -t tenantName -get_alt_ocsp]
      
    4. Para quitar la configuración del respondedor OCSP alternativo actual, ejecute este comando.
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (opcional) Para hacer una lista de la información de configuración, ejecute el siguiente comando.
    sso-config.sh -get_authn_policy -t tenantName