Vous pouvez activer et désactiver l'authentification par carte à puce, personnaliser la page de connexion, puis configurer la stratégie de révocation à partir de vSphere Client.
Si l'authentification par carte à puce est activée et que les autres méthodes d'authentification sont désactivées, les utilisateurs doivent se connecter en utilisant l'authentification par carte à puce.
Si l'authentification par nom d'utilisateur et mot de passe est désactivée et si un problème survient avec l'authentification par carte à puce, les utilisateurs ne peuvent pas se connecter. Dans ce cas, un utilisateur racine ou administrateur peut activer l'authentification par nom d'utilisateur et mot de passe dans la ligne de commande de
vCenter Server. La commande suivante active l'authentification par nom d'utilisateur et mot de passe :
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name
Conditions préalables
- Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
- Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).
-
Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation étendue de la clé, sinon le navigateur n'affiche pas le certificat.
- Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
- Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
- Assurez-vous d'avoir configuré le proxy inverse et redémarré la machine physique ou virtuelle.
Procédure
Que faire ensuite
Votre environnement peut nécessiter une configuration OCSP améliorée.
- Si votre réponse OCSP est émise par une autorité de certification différente de l'autorité de certification de signature de la carte à puce, fournissez le certificat de l'autorité de certification de signature OCSP.
- Vous pouvez configurer un ou plusieurs répondeurs OCSP locaux pour chaque site vCenter Server dans un déploiement à sites multiples. Vous pouvez configurer ces répondeurs OCSP de remplacement à l'aide de l'interface de ligne de commande. Reportez-vous à la section Gérer l'authentification par carte à puce à l'aide de l'interface de ligne de commande.