Vous pouvez employer l'utilitaire sso-config pour gérer l'authentification par carte à puce depuis la ligne de commande. L'utilitaire prend en charge toutes les tâches de configuration des cartes à puce.

Pourquoi et quand exécuter cette tâche

Vous trouverez le script sso-config aux emplacements suivants :

Windows

C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config.bat

Linux

/opt/vmware/bin/sso-config.sh

La configuration des types d'authentification et des paramètres de révocation pris en charge est stockée dans VMware Directory Service et est répliquée dans toutes les instances de Platform Services Controller d'un domaine vCenter Single Sign-On.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de Platform Services Controller. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :

SE

Commande

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Si vous utilisez OCSP pour une vérification de la révocation, vous pouvez vous servir de l'OCSP spécifié dans l'extension AIA du certificat de carte à puce. Vous pouvez également remplacer la valeur par défaut et configurer un ou plusieurs répondeurs OCSP de remplacement. Par exemple, vous pouvez configurer des répondeurs OCSP qui sont locaux par rapport au site vCenter Single Sign-On pour traiter la demande de vérification de révocation.

Remarque :

Si OCSP n'est pas défini dans votre certificat, activez plutôt la liste de révocation de certificats (CRL).

Préambules

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 et que vous utilisez vCenter Server version 6.0 ou version ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation avancée de la clé, sinon le navigateur n'affiche pas le certificat.

  • Vérifiez que le certificat de l'interface Web Platform Services Controller est approuvé par la station de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.

    Remarque :

    L'administrateur du domaine vCenter Single Sign-On, administrator@vsphere.local par défaut, ne peut pas effectuer une authentification par carte à puce.

  • Configurez le proxy inverse et redémarrez la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.

    Option

    Description

    Windows

    Connectez-vous à l'installation Windows de Platform Services Controller et utilisez WinSCP ou un utilitaire similaire pour copier les fichiers.

    Dispositif

    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.

    2. Activez l'interpréteur de commande du dispositif de la façon suivante.

      shell
      chsh -s "/bin/bash" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans Platform Services Controller.

    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante.

      chsh -s "bin/appliancesh" root
  2. Pour activer l'authentification par carte à puce pour VMware Directory Service (vmdir), exécutez la commande suivante.
    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    

    Par exemple :

    sso-config.[bat|sh] -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    

    Séparez les certificats par des virgules, mais n'insérez pas d'espace après la virgule.

  3. Pour désactiver toutes les autres méthodes d'authentification, exécutez les commandes suivantes.
    sso-config.[bat|sh] -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Facultatif) : Pour définir une liste blanche des stratégies de certificat, exécutez la commande suivante.
    sso-config.[bat|sh] -set_authn_policy -certPolicies policies

    Pour spécifier plusieurs stratégies, séparez-les par une commande, par exemple :

    sso-config.bat -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19

    Cette liste blanche spécifie les ID objet des stratégies autorisées dans l'extension de stratégie de certificat du certificat. Un certificat X509 peut posséder une extension de stratégie de certificat.

  5. (Facultatif) : Activez et configurez la vérification de révocation à l'aide d'OCSP.
    1. Activez la vérification de révocation à l'aide d'OCSP.
      sso-config.[bat|sh]  -set_authn_policy -t tenantName  -useOcsp true
    2. Si le lien du répondeur OCSP n'est pas fourni par l'extension AIA des certificats, fournissez l'URL du répondeur OCSP de remplacement et le certificat de l'autorité OCSP.

      L'OCSP de remplacement est configuré pour chaque site vCenter Single Sign-On. Vous pouvez spécifier plusieurs répondeurs OCSP de remplacement pour votre site vCenter Single Sign-On pour permettre le basculement.

      sso-config.[bat|sh] -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer

      Remarque :

      La configuration est appliquée au site vCenter Single Sign-On actuel par défaut. Spécifiez le paramètre siteID uniquement si vous configurez un OCSP de remplacement pour d'autres sites vCenter Single Sign-On.

      Prenez l'exemple suivant.

       .sso-config.[bat|sh] -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP reponder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. Pour afficher les paramètres du répondeur OCSP de remplacement, exécutez cette commande.
      sso-config.[bat|sh] -t tenantName -get_alt_ocsp]
      
    4. Pour supprimer les paramètres du répondeur OCSP de remplacement, exécutez cette commande.
      sso-config.[bat|sh] -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (Facultatif) : Pour répertorier les informations de configuration, exécutez la commande suivante.
    sso-config.[bat|sh] -get_authn_policy -t tenantName