Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de vSphere Client.

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de Platform Services Controller. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :
SE Commande
Windows 
sso-config.bat -set_authn_policy 
-pwdAuthn true -t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Linux 
sso-config.sh -set_authn_policy -pwdAuthn true
-t <tenant_name>

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Conditions préalables

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 ou ultérieure et que vous utilisez vCenter Server version 6.0 ou ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.
  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation avancée de la clé, sinon le navigateur n'affiche pas le certificat.

  • Vérifiez que le certificat Platform Services Controller est approuvé par la station de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification
  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
    Note : L'administrateur du domaine vCenter Single Sign-On, [email protected] par défaut, ne peut pas effectuer une authentification par carte à puce.
  • Configurez le proxy inverse et redémarrez la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.
    Option Description
    Windows Connectez-vous à l'installation Windows de Platform Services Controller et utilisez WinSCP ou un utilitaire similaire pour copier les fichiers.
    Dispositif
    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.
    2. Activez l'interpréteur de commande du dispositif de la façon suivante. 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans Platform Services Controller.
    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante. 
      chsh -s "/bin/appliancesh" root
  2. Connectez-vous avec vSphere Client au vCenter Server connecté à Platform Services Controller.
  3. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  4. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  5. Dans la section Authentification par carte à puce, cliquez sur Modifier.
  6. Sélectionnez ou désélectionnez les méthodes d'authentification et cliquez sur Enregistrer.
    Vous pouvez choisir l'authentification par carte à puce uniquement ou l'authentification par carte à puce et mot de passe et l'authentification de session Windows.
    Vous ne pouvez ni activer ni désactiver l'authentification RSA SecurID à partir de cette interface Web. Cependant, si RSA SecurID a été activé depuis la ligne de commande, l'état s'affiche dans l'interface Web.
    La liste Certificats d'autorité de certification approuvés s'affiche.
  7. Sous l'onglet Certificats d'autorité de certification approuvés, cliquez sur Ajouter et sur Parcourir.
  8. Sélectionnez tous les certificats provenant d'autorités de certification approuvées, puis cliquez sur Ajouter.

Que faire ensuite

Votre environnement peut nécessiter une configuration OCSP améliorée.
  • Si votre réponse OCSP est émise par une autorité de certification différente de l'autorité de certification de signature de la carte à puce, fournissez le certificat de l'autorité de certification de signature OCSP.
  • Vous pouvez configurer un ou plusieurs répondeurs OCSP locaux pour chaque site Platform Services Controller dans un déploiement à sites multiples. Vous pouvez configurer ces répondeurs OCSP de remplacement à l'aide de l'interface de ligne de commande. Reportez-vous à la section Utiliser la ligne de commande pour gérer l'authentification par carte à puce.