Se puede utilizar la autenticación de tarjeta inteligente para iniciar sesión en la interfaz de usuario de la consola directa (Direct Console User Interface, DCUI) de ESXi mediante la comprobación de identidad personal (Personal Identity Verification, PIV), la tarjeta de acceso común (Common Access Card, CAC) o la tarjeta inteligente SC650, en lugar de especificar un nombre de usuario y una contraseña.

Una tarjeta inteligente es una tarjeta plástica pequeña con un chip de circuito integrado. Muchas agencias gubernamentales y empresas grandes utilizan la autenticación en dos fases basada en tarjeta inteligente para incrementar la seguridad de los sistemas y cumplir con las normas de seguridad.

Cuando se habilita la autenticación de tarjeta inteligente en un host ESXi, la DCUI solicita una combinación de tarjeta inteligente y PIN, en lugar de la solicitud predeterminada de nombre de usuario y contraseña.

  1. Cuando se introduce la tarjeta inteligente en el lector de tarjetas inteligentes, el host ESXi lee las credenciales de la tarjeta.
  2. La DCUI de ESXi muestra su identificador de inicio de sesión y solicita su PIN.
  3. Una vez introducido el PIN, el host ESXi busca coincidencias con el PIN almacenado en la tarjeta inteligente y comprueba el certificado en la tarjeta inteligente con Active Directory.
  4. Después de la correcta comprobación del certificado de la tarjeta inteligente, ESXi inicia su sesión en la DCUI.

Para pasar a la autenticación mediante nombre de usuario y contraseña desde la DCUI, presione F3.

El chip de la tarjeta inteligente se bloquea después de una serie de ingresos de PIN incorrecto; por lo general, después de tres intentos. Si se bloquea la tarjeta inteligente, únicamente el personal designado puede desbloquearla.

Activar autenticación de tarjeta inteligente

Active la autenticación de tarjeta inteligente para que el sistema solicite la combinación de tarjeta inteligente y PIN para iniciar sesión en la DCUI de ESXi.

Requisitos previos

  • Configure la infraestructura para que controle la autenticación de tarjeta inteligente, como cuentas del dominio de Active Directory, lectores de tarjetas inteligentes y tarjetas inteligentes.
  • Configure ESXi para que se una a un dominio de Active Directory que admita la autenticación de tarjeta inteligente. Para obtener más información, consulte Usar Active Directory para administrar usuarios de ESXi.
  • Utilice vSphere Client para agregar certificados raíz. Consulte Administrar certificados para hosts ESXi.

Procedimiento

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Servicios de autenticación.
    Puede ver el estado actual de autenticación de tarjeta inteligente y una lista con los certificados importados.
  4. En el panel Autenticación de tarjeta inteligente, haga clic en Editar.
  5. En el cuadro de diálogo Editar autenticación de tarjeta inteligente, seleccione la página Certificados.
  6. Agregue certificados de una entidad de certificación (CA) de confianza, por ejemplo, certificados de una CA raíz o intermediaria.
    Los certificados deben estar en formato PEM.
  7. Abra la página Autenticación de tarjeta inteligente, active la casilla Habilitar autenticación de tarjeta inteligente y haga clic en Aceptar.

Desactivar autenticación de tarjeta inteligente

Desactive la autenticación de tarjeta inteligente para regresar a la autenticación predeterminada de nombre de usuario y contraseña que permite iniciar sesión en la DCUI de ESXi.

Procedimiento

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Servicios de autenticación.
    Puede ver el estado actual de autenticación de tarjeta inteligente y una lista con los certificados importados.
  4. En el panel Autenticación de tarjeta inteligente, haga clic en Editar.
  5. En la página Autenticación de tarjeta inteligente, desactive la casilla Habilitar autenticación de tarjeta inteligente y haga clic en Aceptar.

Autenticar con nombre de usuario y contraseña en caso de problemas de conectividad

Si no se puede tener acceso al servidor de dominios de Active Directory (AD), puede iniciar sesión en la DCUI de ESXi con la autenticación de nombre de usuario y contraseña para realizar acciones de emergencia en el host.

En raras ocasiones, no se puede tener acceso al servidor de dominio de AD para autenticar las credenciales de usuario en la tarjeta inteligente debido a problemas de conectividad, cortes de red o desastres. En ese caso, puede iniciar sesión en el DCUI de ESXi con las credenciales de un usuario administrador de ESXi local. Después de iniciar sesión, puede realizar diagnósticos u otras acciones de emergencia. La reserva del inicio de sesión con nombre de usuario y contraseña queda registrada. Cuando la conectividad a AD se restaura, se vuelve a habilitar la autenticación de tarjeta inteligente.

Nota: La pérdida de la conectividad de red con vCenter Server no afecta la autenticación de tarjeta inteligente si el servidor de Active Directory (AD) está disponible.

Usar la autenticación de tarjeta inteligente en el modo de bloqueo

Cuando el modo de bloqueo está activado en el host ESXi, aumenta la seguridad del host y se limita el acceso a la interfaz de usuario de la consola directa (DCUI). El modo de bloqueo puede hacer que la autenticación de tarjeta inteligente deje de funcionar.

En el modo normal de bloqueo, únicamente los usuarios que figuran en la lista de usuarios con excepción con privilegios de administrador pueden acceder a la DCUI. Los usuarios con excepción son usuarios locales del host o usuarios de Active Directory con permisos definidos localmente para el host ESXi. Si desea utilizar la autenticación de tarjeta inteligente en el modo de bloqueo normal, debe agregar usuarios a la lista de usuarios con excepción desde vSphere Client. Estos usuarios no pierden sus permisos cuando el host entra en el modo de bloqueo normal y pueden iniciar sesión en la DCUI. Para obtener más información, consulte Especificar usuarios con excepción para el modo de bloqueo.

En el modo de bloqueo estricto, el servicio de la DCUI se interrumpe. Como consecuencia, no se puede acceder al host con la autenticación de tarjeta inteligente.