Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de vSphere Client.

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de vCenter Server. La commande suivante active l'authentification par nom d'utilisateur et mot de passe : 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Conditions préalables

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation étendue de la clé, sinon le navigateur n'affiche pas le certificat.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
  • Assurez-vous d'avoir configuré le proxy inverse et redémarré la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.
    1. Connectez-vous à la console vCenter Server, soit directement soit à l'aide de SSH.
    2. Activez l'interpréteur de commande de la façon suivante. 
      shell
chsh -s "/bin/bash" root
csh -s "bin/appliance/sh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le répertoire /usr/lib/vmware-sso/vmware-sts/conf sur vCenter Server.
    4. Vous pouvez éventuellement désactiver l'interpréteur de commande du dispositif de la façon suivante. 
      chsh -s "/bin/appliancesh" root
  2. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  3. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  4. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  5. Dans l'onglet Fournisseur d'identité, cliquez sur Authentification par carte à puce, puis sur Modifier.
  6. Sélectionnez ou désélectionnez les méthodes d'authentification et cliquez sur Enregistrer.
    Vous pouvez choisir l'authentification par carte à puce uniquement ou l'authentification par carte à puce et mot de passe et l'authentification de session Windows.
    Vous ne pouvez ni activer ni désactiver l'authentification RSA SecurID à partir de cette interface Web. Cependant, si RSA SecurID a été activé depuis la ligne de commande, l'état s'affiche dans l'interface Web.
    La liste Certificats d'autorité de certification approuvés s'affiche.
  7. Sous l'onglet Certificats d'autorité de certification approuvés, cliquez sur Ajouter et sur Parcourir.
  8. Sélectionnez tous les certificats provenant d'autorités de certification approuvées, puis cliquez sur Ajouter.

Que faire ensuite

Votre environnement peut nécessiter une configuration OCSP améliorée.
  • Si votre réponse OCSP est émise par une autorité de certification différente de l'autorité de certification de signature de la carte à puce, fournissez le certificat de l'autorité de certification de signature OCSP.
  • Vous pouvez configurer un ou plusieurs répondeurs OCSP locaux pour chaque site vCenter Server dans un déploiement à sites multiples. Vous pouvez configurer ces répondeurs OCSP de remplacement à l'aide de l'interface de ligne de commande. Reportez-vous à la section Utiliser la ligne de commande pour gérer l'authentification par carte à puce.