Vous pouvez employer l'utilitaire sso-config pour configurer l'authentification par carte à puce depuis la ligne de commande. L'utilitaire prend en charge toutes les tâches de configuration des cartes à puce.

Avant de commencer

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.0 Update 2 ou ultérieure, et que vCenter Server version 6.0 ou ultérieure est bien installé. Mettez à niveau les nœuds de version 5.5 vers la version 6.0.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) qui correspond à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • L'authentification du client doit être spécifiée dans le champ Stratégie d'application ou Utilisation avancée de la clé d'un certificat, sinon le navigateur n'affiche pas ce certificat.

  • Vérifiez que l'interface Web de Platform Services Controller est approuvée par la station de travail de l'utilisateur final ; sinon, le navigateur ne tente pas l'authentification.

  • Configurez une source d'identité Active Directory et ajoutez-la à vCenter Single Sign-On en tant que source d'identité.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent alors s'authentifier, car ils font partie du groupe Active Directory et ils ont des privilèges d'administrateur de vCenter Server. L'utilisateur administrator@vsphere.local ne peut pas effectuer d'authentification par carte à puce.

  • Si vous souhaitez utiliser la solution haute disponibilité (HA, High Availability) de Platform Services Controller dans votre environnement, configurez HA avant de configurer l'authentification par carte à puce. Consultez l’article de la base de connaissances VMware 2112085 (Windows) ou 2113315 (vCenter Server Appliance).

Pourquoi et quand exécuter cette tâche

Lorsque vous configurez l’authentification par carte à puce à partir de la ligne de commande, configurez toujours Platform Services Controller en utilisant la commande sso-configen premier. Puis, vous pouvez effectuer d’autres tâches à l’aide de l’interface Web de Platform Services Controller.

  1. Configurez Platform Services Controller afin que le navigateur Web demande l'envoi du certificat par carte à puce lorsque l’utilisateur se connecte.

  2. Configurez la stratégie d’authentification. Vous pouvez configurer la stratégie en utilisant le script sso-config ou l’interface Web de Platform Services Controller. La configuration des types d'authentification et des paramètres de révocation pris en charge est stockée dans VMware Directory Service et est répliquée dans toutes les instances de Platform Services Controller d'un domaine vCenter Single Sign-On.

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si la connexion depuis vSphere Web Client ne fonctionne pas, et que l'authentification par nom d'utilisateur et par mot de passe est désactivée, un utilisateur racine ou administrateur peut réactiver l'authentification par nom d'utilisateur et par mot de passe depuis la ligne de commande de Platform Services Controller en exécutant la commande suivante. L'exemple concerne Windows ; pour Linux, utilisez sso-config.sh.

sso-config.bat -set_authn_policy -pwdAuthn true

Vous trouverez le script sso-config aux emplacements suivants :

Windows

C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.

    Option

    Description

    Windows

    Connectez-vous à l'installation Windows de Platform Services Controller et utilisez WinSCP ou un utilitaire similaire pour copier les fichiers.

    Dispositif

    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.

    2. Activez l'interpréteur de commande du dispositif de la façon suivante.

      shell.set --enabled True
      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans Platform Services Controller.

    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante.

      chsh -s "bin/appliancesh" root
  2. Sur chaque nœud Platform Services Controller, configurez les paramètres d’authentification par carte à puce en utilisant l'interface de ligne de commande de sso-config.
    1. Accédez au répertoire dans lequel le script sso-config se trouve.

      Option

      Description

      Windows

      C:\Program Files\VMware\VCenter server\VMware Identity Services

      Dispositif

      /opt/vmware/bin

    2. Exécutez la commande suivante :
      sso-config.[bat|sh] -set_tc_cert_authn -switch true -cacerts  [FirstTrustedCA.cer,SecondTrustedCA.cer,...]  -t tenant
      

      Par exemple :

      sso-config.bat -set_tc_cert_authn -switch true -cacerts MySmartCA1.cer -t vsphere.local
      
    3. Redémarrez la machine virtuelle ou physique.
      service-control --stop vmware-stsd
      service-control --start vmware-stsd
      
  3. Pour activer l'authentification par carte à puce pour VMware Directory Service (vmdir), exécutez la commande suivante.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Par exemple :

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Si vous spécifiez plusieurs certificats, les espaces ne sont pas autorisés entre ces certificats.

  4. Pour désactiver toutes les autres méthodes d'authentification, exécutez les commandes suivantes.
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local

    Vous pouvez utiliser ces commandes pour activer et désactiver différentes méthodes d’authentification en fonction des besoins.

  5. (Facultatif) : Pour définir une liste blanche des stratégies de certificat, exécutez la commande suivante.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Pour spécifier plusieurs stratégies, séparez-les par une commande, par exemple :

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    Cette liste blanche spécifie les ID objet des stratégies autorisées dans l'extension de stratégie de certificat du certificat. Un certificat X509 peut posséder une extension de stratégie de certificat.

  6. (Facultatif) : Pour répertorier les informations de configuration, exécutez la commande suivante.
    sso-config.[bat|sh] -get_authn_policy -t tenantName