Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de vSphere Client.

Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.

Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de vCenter Server. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Conditions préalables

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).
    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation étendue de la clé, sinon le navigateur n'affiche pas le certificat.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
  • Assurez-vous d'avoir configuré le proxy inverse et redémarré la machine physique ou virtuelle.

Procédure

  1. Obtenez les certificats et copiez-les dans un dossier que l'utilitaire sso-config peut voir.
    1. Connectez-vous à la console vCenter Server, soit directement soit à l'aide de SSH.
    2. Activez le shell comme suit.
      Command> shell
      chsh -s "/bin/bash" root
      chsh -s "bin/appliancesh" root
    3. Utilisez WinSCP ou un utilitaire similaire pour copier les certificats dans le répertoire /usr/lib/vmware-sso/vmware-sts/conf sur vCenter Server.
    4. Éventuellement, désactivez le shell de la façon suivante.
      chsh -s "/bin/appliancesh" root
  2. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  3. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  4. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  5. Dans l'onglet Fournisseur d'identité, cliquez sur Authentification par carte à puce, puis sur Modifier.
  6. Sélectionnez ou désélectionnez les méthodes d'authentification et cliquez sur Enregistrer.
    Vous ne pouvez pas activer ou désactiver l'authentification RSA SecurID à partir de cette interface Web. Cependant, si RSA SecurID a été activé à partir de la ligne de commande, l’état s’affiche dans l’interface Web de.
    La liste Certificats d'autorité de certification approuvés s'affiche.
  7. Sous l'onglet Certificats d'autorité de certification approuvés :
    1. Cliquez sur Ajouter, puis sur Parcourir.
    2. Sélectionnez un certificat d'autorité de certification approuvé, puis cliquez sur Ajouter.
  8. Pour ajouter des certificats d'autorité de certification approuvés supplémentaires, répétez l'étape 7.

Que faire ensuite

Votre environnement peut nécessiter une configuration OCSP améliorée.
  • Si votre réponse OCSP est émise par une autorité de certification différente de l'autorité de certification de signature de la carte à puce, fournissez le certificat de l'autorité de certification de signature OCSP.
  • Vous pouvez configurer un ou plusieurs répondeurs OCSP locaux pour chaque site vCenter Server dans un déploiement à sites multiples. Vous pouvez configurer ces répondeurs OCSP de remplacement à l'aide de l'interface de ligne de commande. Reportez-vous à la section Gérer l'authentification par carte à puce à l'aide de l'interface de ligne de commande.