Puede activar o desactivar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde vSphere Client.
Si se activa la autenticación de tarjeta inteligente y se desactivan otros métodos de autenticación, se solicitará luego a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.
Si se desactiva la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de
vCenter Server. El siguiente comando activa la autenticación con nombre de usuario y contraseña.
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
Requisitos previos
- Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
- Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
-
El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de clave; de lo contrario, el explorador no mostrará el certificado.
- Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
- Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
- Asegúrese de haber configurado el proxy inverso y reinicie el equipo físico o la máquina virtual.
Procedimiento
Qué hacer a continuación
El entorno puede requerir una configuración de OCSP mejorada.
- Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.
- Puede configurar uno o más respondedores OCSP locales para cada sitio de vCenter Server en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Administrar la autenticación de tarjeta inteligente mediante la CLI.