Vous pouvez configurer votre environnement pour exiger que les utilisateurs se connectent avec un jeton RSA SecurID. La configuration de SecurID est uniquement prise en charge à partir de la ligne de commande.

Pourquoi et quand exécuter cette tâche

Pour plus de détails, reportez-vous aux deux articles du blog vSphere Blog relatifs à la configuration de RSA SecurID.

Remarque :

RSA Authentication Manager exige que l'ID d'utilisateur soit un identifiant unique qui utilise de 1 à 255 caractères ASCII. Les caractères esperluette (&), pour cent (%), supérieur à (>), inférieur à (<) et guillemet simple (`) ne sont pas autorisés.

Préambules

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 et que vous utilisez vCenter Server version 6.0 ou version ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.

  • Vérifiez que votre environnement dispose d'une instance de RSA Authentication Manager correctement configurée et que les utilisateurs disposent de jetons RSA. RSA Authentication Manager version 8.0 ou version ultérieure est requis.

  • Vérifiez que la source d'identité qui est utilisée par RSA Manager a été ajoutée à vCenter Single Sign-On. Reportez-vous à Ajouter une source d'identité de vCenter Single Sign-On.

  • Vérifiez que le système RSA Authentication Manager peut résoudre le nom d'hôte de Platform Services Controller et que le système Platform Services Controller peut résoudre le nom d'hôte de RSA Authentication Manager.

  • Exportez le fichier sdconf.rec depuis RSA Manager en sélectionnant Accès > Agents d'authentification > Générer le fichier de configuration. Décompressez le fichier AM_Config.zip résultant pour trouver le fichier sdconf.rec.

  • Copiez le fichier sdconf.rec sur le nœud de Platform Services Controller.

Procédure

  1. Changez le répertoire dans lequel le script sso-config réside.

    Option

    Description

    Windows

    C:\Program Files\VMware\VCenter server\VMware Identity Services

    Dispositif

    /opt/vmware/bin

  2. Pour activer l'authentification RSA SecurID, exécutez la commande suivante.
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy –securIDAuthn true

    tenantName est le nom du domaine vCenter Single Sign-On, vsphere.local par défaut.

  3. (Facultatif) : Pour désactiver les autres méthodes d'authentification, exécutez la commande suivante.
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Pour configurer l'environnement afin que le locataire du site actuel utilise le site RSA, exécutez la commande suivante.
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    

    Par exemple :

    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    

    Vous pouvez spécifier les options suivantes :

    Option

    Description

    siteID

    ID de site Platform Services Controller facultatif. Platform Services Controller prend en charge une instance de RSA Authentication Manager ou un cluster par site. Si vous ne spécifiez pas explicitement cette option, la configuration RSA vaut pour le site actuel Platform Services Controller. Utilisez cette option uniquement lorsque vous ajoutez un site différent.

    agentName

    Défini dans RSA Authentication Manager.

    sdConfFile

    Copie du fichier sdconf.rec qui est téléchargée à partir de RSA Manager et inclut des informations de configuration pour RSA Manager, telles que l'adresse IP.

  5. (Facultatif) : Pour changer les valeurs par défaut de la configuration du locataire, exécutez la commande suivante.
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    

    La valeur par défaut est généralement appropriée, par exemple :

    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Facultatif) : Si votre source d'identité n'utilise pas le nom d'utilisateur principal comme ID d'utilisateur, configurez l'attribut userID de la source d'identité.

    L'attribut userID détermine l'attribut LDAP qui doit être utilisé comme l'userID RSA.

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]

    Par exemple :

    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Pour afficher les paramètres actuels, exécutez la commande suivante.
    sso-config.sh -t tenantName -get_rsa_config

Résultats

Si l'authentification par nom d'utilisateur et par mot de passe est désactivée et que l'authentification RSA est activée, les utilisateurs doivent se connecter avec leur nom d'utilisateur et le jeton RSA. La connexion avec le nom d'utilisateur et le mot de passe n'est plus possible.

Remarque :

Utilisez le format de nom d'utilisateur userID@domainName ou userID@domain_upn_suffix.