Vous pouvez utiliser l'interface de ligne de commande vdmutil pour configurer et activer ou désactiver l'authentification unique réelle.
Cette procédure est requise pour être exécutée sur un seul Serveur de connexion dans le cluster.
Important : Cette procédure utilise uniquement les commandes nécessaires pour activer l'authentification unique réelle. Pour voir une liste de toutes les options de configuration disponibles pour la gestion des configurations d'authentification unique réelle et voir une description de chaque option, reportez-vous à la section
Référence de ligne de commande pour configurer l'authentification unique réelle.
Procédure
- Sur un Serveur de connexion dans le cluster, ouvrez une invite de commande et entrez la commande pour ajouter un serveur d'inscription.
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
Le serveur d'inscription est ajouté à la liste globale.
- Entrez la commande pour répertorier les informations pour ce serveur d'inscription.
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
La sortie indique le nom de la forêt, si le certificat du serveur d'inscription est valide, le nom et les détails du modèle de certificat que vous pouvez utiliser et le nom commun de l'autorité de certification. Pour configurer les domaines auxquels le serveur d'inscription peut se connecter, vous pouvez utiliser un paramètre de registre Windows sur le serveur d'inscription. L'option par défaut consiste à se connecter à tous les domaines d'approbation.
Important : Vous devrez spécifier le nom commun de l'autorité de certification à l'étape suivante.
- Entrez la commande pour créer un connecteur d'authentification unique réelle, qui contiendra les informations de configuration, et activez le connecteur.
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
Dans cette commande, TrueSSO-template-name est le nom du modèle indiqué dans la sortie de l'étape précédente et ca-common-name est le nom commun de l'autorité de certification d'entreprise indiqué dans cette sortie.
Le connecteur d'authentification unique réelle est activé sur un pool ou un cluster pour le domaine spécifié. Pour désactiver l'authentification unique réelle au niveau du pool, exécutez
vdmUtil --certsso --edit --connector <domain> --mode disabled. Pour désactiver l'authentification unique réelle pour une machine virtuelle individuelle, vous pouvez utiliser GPO (vdm_agent.adm).
- Entrez la commande pour découvrir les authentificateurs SAML qui sont disponibles.
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
Des authentificateurs sont créés lorsque vous configurez l'authentification SAML entre VMware Identity Manager et un serveur de connexion, à l'aide d'Horizon Administrator.
La sortie indique le nom de l'authentificateur et si l'authentification unique réelle est activée.
Important : Vous devrez spécifier le nom de l'authentificateur à l'étape suivante.
- Entrez la commande pour permettre à l'authentificateur d'utiliser le mode Authentification unique réelle.
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
Pour --truessoMode, utilisez ENABLED si vous voulez que l'authentification unique réelle soit utilisée uniquement si aucun mot de passe n'a été fourni lorsque l'utilisateur s'est connecté à VMware Identity Manager. Dans ce cas, si un mot de passe a été utilisé et mis en cache, le système utilisera le mot de passe. Définissez --truessoMode sur ALWAYS si vous voulez que l'authentification unique réelle soit utilisée même si un mot de passe a été fourni lorsque l'utilisateur s'est connecté à VMware Identity Manager.
Que faire ensuite
Dans Horizon Administrator, vérifiez l'état de santé de la configuration d'authentification unique réelle. Pour plus d'informations, reportez-vous à la section Utilisation du tableau de bord de santé du système pour résoudre des problèmes liés à l'authentification unique réelle.
Pour configurer des options avancées, utilisez les paramètres avancés Windows sur le système approprié. Reportez-vous à la section Paramètres de configuration avancée pour l'authentification unique réelle.