Vous pouvez employer l'utilitaire sso-config pour gérer l'authentification par carte à puce depuis la ligne de commande. L'utilitaire prend en charge toutes les tâches de configuration des cartes à puce.

Vous trouverez le script sso-config à l'emplacement suivant :
/opt/vmware/bin/sso-config.sh

La configuration des types d'authentification et des paramètres de révocation pris en charge est stockée dans VMware Directory Service et est répliquée dans toutes les instances de vCenter Server d'un domaine vCenter Single Sign-On.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de vCenter Server. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Si vous utilisez le locataire par défaut, utilisez vsphere.local comme nom de locataire.

Si vous utilisez OCSP pour une vérification de la révocation, vous pouvez vous servir de l'OCSP spécifié dans l'extension AIA du certificat de carte à puce. Vous pouvez également remplacer la valeur par défaut et configurer un ou plusieurs répondeurs OCSP de remplacement. Par exemple, vous pouvez configurer des répondeurs OCSP qui sont locaux par rapport au site vCenter Single Sign-On pour traiter la demande de vérification de révocation.

Note : Si OCSP n'est pas défini dans votre certificat, activez plutôt la liste de révocation de certificats (CRL).

Conditions préalables

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).
    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation étendue de la clé, sinon le navigateur n'affiche pas le certificat.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
  • Assurez-vous d'avoir configuré le proxy inverse et redémarré la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.
    1. Connectez-vous à la console du dispositif, soit directement soit à l'aide de SSH.
    2. Activez le shell du dispositif de la façon suivante.
      shell
      chsh -s "/bin/bash" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le dossier /usr/lib/vmware-sso/vmware-sts/conf dans vCenter Server.
    4. Éventuellement, désactivez le shell de la façon suivante.
      chsh -s "/bin/appliancesh" root
  2. Pour activer l'authentification par carte à puce, exécutez la commande suivante.
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    
    Par exemple :
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    
    Séparez les certificats par des virgules, mais n'insérez pas d'espace après la virgule.
  3. Pour désactiver toutes les autres méthodes d'authentification, exécutez les commandes suivantes.
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
    sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Facultatif) Pour définir une liste verte des stratégies de certificat, exécutez la commande suivante.
    sso-config.sh -set_authn_policy -certPolicies policies
    Pour spécifier plusieurs stratégies, séparez-les par une virgule, par exemple :
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    Cette liste verte spécifie les ID d'objet des stratégies autorisées dans l'extension de stratégie de certificat du certificat. Un certificat X509 peut posséder une extension de stratégie de certificat.
  5. (Facultatif) Activez et configurez la vérification de révocation à l'aide d'OCSP.
    1. Activez la vérification de révocation à l'aide d'OCSP.
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Si le lien du répondeur OCSP n'est pas fourni par l'extension AIA des certificats, fournissez l'URL du répondeur OCSP de remplacement et le certificat de l'autorité OCSP.
      L'OCSP de remplacement est configuré pour chaque site vCenter Single Sign-On. Vous pouvez spécifier plusieurs répondeurs OCSP de remplacement pour votre site vCenter Single Sign-On pour permettre le basculement.
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Note : La configuration est appliquée au site vCenter Single Sign-On actuel par défaut. Spécifiez le paramètre siteID uniquement si vous configurez un OCSP de remplacement pour d'autres sites vCenter Single Sign-On.

      Prenez l'exemple suivant.

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
       Adding alternative OCSP responder for tenant :vsphere.local
       OCSP responder is added successfully!
       [
       site::   78564172-2508-4b3a-b903-23de29a2c342
           [
           OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
           [
           OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
           OCSP signing CA cert:   binary value]
           ]
       ]
    3. Pour afficher les paramètres du répondeur OCSP de remplacement, exécutez cette commande.
      sso-config.sh -t tenantName -get_alt_ocsp]
      
    4. Pour supprimer les paramètres du répondeur OCSP de remplacement, exécutez cette commande.
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
      
  6. (Facultatif) Pour répertorier les informations de configuration, exécutez la commande suivante.
    sso-config.sh -get_authn_policy -t tenantName