Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de l'interface Web de Platform Services Controller.

Pourquoi et quand exécuter cette tâche

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de Platform Services Controller. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :

SE

Commande

Windows

sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Linux

sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Préambules

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 et que vous utilisez vCenter Server version 6.0 ou version ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation avancée de la clé, sinon le navigateur n'affiche pas le certificat.

  • Vérifiez que le certificat de l'interface Web Platform Services Controller est approuvé par la station de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.

    Remarque :

    L'administrateur du domaine vCenter Single Sign-On, administrator@vsphere.local par défaut, ne peut pas effectuer une authentification par carte à puce.

  • Configurez le proxy inverse et redémarrez la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.

    Option

    Description

    Windows

    Connectez-vous à l'installation Windows de Platform Services Controller et utilisez WinSCP ou un utilitaire similaire pour copier les fichiers.

    Dispositif

    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.

    2. Activez l'interpréteur de commande du dispositif de la façon suivante.

      shell
      chsh -s "/bin/bash" root
      csh -s "bin/appliance/sh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans Platform Services Controller.

    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante.

      chsh -s "bin/appliancesh" root
  2. Dans un navigateur Web, connectez-vous à vSphere Web Client ou à Platform Services Controller.

    Option

    Description

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    Dans un déploiement intégré, le nom d'hôte ou l'adresse IP de Platform Services Controller est identique au nom d'hôte ou à l'adresse IP de vCenter Server.

  3. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.

    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@mydomain.

  4. Accédez à l'interface utilisateur de configuration de vCenter Single Sign-On.

    Option

    Description

    vSphere Web Client

    1. Dans le menu Accueil, sélectionnez Administration.

    2. Sous Single Sign-On, cliquez sur Configuration.

    Platform Services Controller

    Cliquez sur Single Sign-On, puis sur Configuration.

  5. Cliquez sur Configuration de la carte à puce, puis sélectionnez l'onglet Certificats d'autorité de certification approuvés.
  6. Pour ajouter un ou plusieurs certificats approuvés, cliquez sur Ajouter un certificat, cliquez sur Parcourir, sélectionnez tous les certificats des autorités de certification approuvées, puis cliquez sur OK.
  7. Pour spécifier la configuration de l'authentification, cliquez sur Modifier en regard de Configuration de l'authentification, puis sélectionnez des méthodes d'authentification ou annulez cette sélection.

    Vous ne pouvez ni activer ni désactiver l'authentification RSA SecurID à partir de cette interface Web. Cependant, si RSA SecurID a été activé depuis la ligne de commande, l'état s'affiche dans l'interface Web.

Que faire ensuite

Votre environnement peut nécessiter une configuration OCSP améliorée.

  • Si votre réponse OCSP est émise par une autorité de certification différente de l'autorité de certification de signature de la carte à puce, fournissez le certificat de l'autorité de certification de signature OCSP.

  • Vous pouvez configurer un ou plusieurs répondeurs OCSP locaux pour chaque site Platform Services Controller dans un déploiement à sites multiples. Vous pouvez configurer ces répondeurs OCSP de remplacement à l'aide de l'interface de ligne de commande. Reportez-vous à Utiliser la ligne de commande pour gérer l'authentification par carte à puce.