Puede activar o desactivar la autenticación de tarjeta inteligente, personalizar el banner de inicio de sesión y configurar la directiva de revocación desde vSphere Client.

Si se activa la autenticación de tarjeta inteligente y se desactivan otros métodos de autenticación, se solicitará luego a los usuarios que inicien sesión con la autenticación de tarjeta inteligente.

Si se desactiva la autenticación con nombre de usuario y contraseña, y si hay problemas con la autenticación de tarjeta inteligente, los usuarios no podrán iniciar sesión. En ese caso, un usuario raíz o un usuario administrador pueden activar la autenticación con nombre de usuario y contraseña en la línea de comandos de vCenter Server. El siguiente comando activa la autenticación con nombre de usuario y contraseña. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Requisitos previos

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
    • Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).

    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de clave; de lo contrario, el explorador no mostrará el certificado.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
  • Asegúrese de haber configurado el proxy inverso y reinicie el equipo físico o la máquina virtual.

Procedimiento

  1. Obtenga los certificados y cópielos en una carpeta que la utilidad sso-config pueda ver.
    1. Inicie sesión en la consola de vCenter Server, ya sea directamente o a través de SSH.
    2. Active el shell de la siguiente manera. 
      Command> shell
chsh -s "/bin/bash" root
chsh -s "bin/appliancesh" root
    3. Utilice WinSCP o una utilidad similar para copiar los certificados en el directorio /usr/lib/vmware-sso/vmware-sts/conf en la instancia de vCenter Server.
    4. Opcionalmente desactive el shell de la siguiente manera. 
      chsh -s "/bin/appliancesh" root
  2. Inicie sesión con vSphere Client en vCenter Server.
  3. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  4. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  5. En la pestaña Proveedor de identidad, haga clic en Autenticación de tarjeta inteligente y, a continuación, haga clic en Editar.
  6. Seleccione o anule la selección de los métodos de autenticación y haga clic en Guardar.
    No puede activar ni desactivar la autenticación RSA SecurID desde esta interfaz web. Sin embargo, si se activó RSA SecurID desde la línea de comandos, el estado aparece en la interfaz web.
    Aparece la pestaña Certificados de CA de confianza.
  7. En la pestaña Certificados de CA de confianza:
    1. Haga clic en Agregar y en Examinar.
    2. Seleccione un certificado de CA de confianza y haga clic en Agregar.
  8. Para agregar certificados de CA de confianza adicionales, repita el paso 7.

Qué hacer a continuación

El entorno puede requerir una configuración de OCSP mejorada.
  • Si la respuesta OCSP es emitida por una CA distinta de la CA firmante de la tarjeta inteligente, proporcione el certificado de CA de firma correspondiente a OCSP.
  • Puede configurar uno o más respondedores OCSP locales para cada sitio de vCenter Server en una implementación de varios sitios. Es posible configurar estos respondedores OCSP alternativos mediante la CLI. Consulte Administrar la autenticación de tarjeta inteligente mediante la CLI.