Utilisez l'écran Authentification dans l'onglet VPN-Plus SSL pour configurer un serveur d'authentification local pour le service VPN SSL de la passerelle Edge et éventuellement activer l'authentification du certificat client. VMware Cloud Director utilise ce serveur d'authentification pour authentifier les utilisateurs qui se connectent. Tous les utilisateurs configurés dans le serveur d'authentification local seront authentifiés.
Un seul serveur d'authentification VPN-Plus SSL local peut être configuré sur la passerelle Edge. Si vous cliquez sur + LOCAL et spécifiez des serveurs d'authentification supplémentaires, un message d'erreur s'affiche lorsque vous tentez d'enregistrer la configuration.
Le délai maximal pour s'authentifier via SSL VPN est de 3 minutes. Cette valeur maximale est déterminée par le délai d'expiration de non-authentification, qui est de 3 minutes par défaut et n'est pas configurable. Par conséquent, si vous avez plusieurs serveurs d'authentification dans l'autorisation en chaîne et que l'authentification de l'utilisateur met plus de 3 minutes, l'utilisateur n'est pas authentifié.
Conditions préalables
- Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.
- Ajouter un réseau privé pour une utilisation avec VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.
- Si vous prévoyez d'activer l'authentification du certificat client, vérifiez qu'un certificat d'autorité de certification a été ajouté à la passerelle Edge. Reportez-vous à Ajouter un certificat d'autorité de certification à la passerelle Edge pour la vérification de l'approbation des certificats SSL à l'aide du VMware Cloud Director Service Provider Admin Portal.
Procédure
- Cliquez sur l'onglet SSL VPN-Plus, puis sur Authentification.
- Cliquez sur Local.
- Configurez les paramètres du serveur d'authentification.
- (Facultatif) Activez et configurez la stratégie de mot de passe.
Option Description Activer la stratégie de mot de passe Activez l'application des paramètres de stratégie de mot de passe que vous configurez ici. Longueur du mot de passe Entrez la valeur minimale et la valeur maximale autorisées pour le nombre de caractères de la longueur du mot de passe. Nb minimal de caractères alphabétiques (Facultatif) Entrez le nombre minimal de caractères alphabétiques requis dans le mot de passe. Nb minimal de chiffres (Facultatif) Entrez le nombre minimal de caractères numériques requis dans le mot de passe. Nb minimal de caractères spéciaux (Facultatif) Entrez le nombre minimal de caractères spéciaux, tels que l'esperluette (&), le mot-dièse (#), le symbole de pourcentage (%), et ainsi de suite, qui sont requis dans le mot de passe. Le mot de passe ne doit pas contenir l'identifiant utilisateur (Facultatif) Activez l'option imposant que le mot de passe ne puisse pas contenir l'ID d'utilisateur. Le mot de passe expire dans (Facultatif) Tapez le nombre maximal de jours d'existence d'un mot de passe au terme duquel l'utilisateur doit le changer. Notification d'expiration dans (Facultatif) Tapez le nombre de jours précédant l'échéance Le mot de passe expire dans où l'utilisateur est informé que le mot de passe est sur le point d'expirer. - (Facultatif) Activez et configurez la stratégie de verrouillage de compte.
Option Description Activer la stratégie de verrouillage du compte Activez l'application des paramètres de stratégie de verrouillage de compte que vous configurez ici. Nombre de tentatives Entrez le nombre de tentatives d'accès au compte autorisé pour l'utilisateur. Durée de la tentative Entrez la période, en minutes, au terme de laquelle le compte de l'utilisateur est verrouillé lors de tentatives de connexion infructueuses. Par exemple, si vous spécifiez la valeur 5 pour Nombre de tentatives et 1 minute pour Durée de nouvelle tentative, le compte de l'utilisateur distant est verrouillé après 5 tentatives infructueuses de connexion en 1 minute.
Durée de verrouillage Entrez la période pendant laquelle le compte de l'utilisateur reste verrouillé. Passé ce délai, le compte est automatiquement déverrouillé.
- Dans la section État, activez ce serveur d'authentification.
- (Facultatif) Configurez l'authentification secondaire.
Options Description Utiliser ce serveur pour l'authentification secondaire (Facultatif) Spécifiez si vous voulez utiliser le serveur comme second niveau d'authentification. Mettre fin à la session en cas d'échec de l'authentification (Facultatif) Spécifiez si vous voulez mettre fin à la session VPN lorsque l'authentification échoue. - Cliquez sur Conserver.
- (Facultatif) Activez et configurez la stratégie de mot de passe.
- (Facultatif) Pour activer l'authentification par certification de client, cliquez sur Modifier le certificat, puis activez le bouton bascule d'activation, sélectionnez le certificat d'autorité de certification à utiliser et cliquez sur OK.
Que faire ensuite
Ajoutez des utilisateurs locaux au serveur d'authentification local afin qu'ils puissent se connecter avec SSL VPN-Plus. Reportez-vous à Ajouter des utilisateurs VPN-Plus SSL au serveur d'authentification VPN-Plus SSL local sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.
Créez un module d'installation contenant le client SSL afin que les utilisateurs distants puissent l'installer sur leurs systèmes locaux. Reportez-vous à Ajouter un module d'installation de client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.