Avant d'activer l'authentification par carte à puce, vous devez configurer le proxy inverse sur le système vCenter Server.

La configuration du proxy inverse est une condition requise dans vSphere 6.5 et version ultérieure.

La configuration utilise le port 3128, qui est défini et ouvert automatiquement.

Conditions préalables

Copiez les certificats de l'autorité de certification (CA) dans le système vCenter Server.

Note : vCenter Server 7.0 prend en charge le protocole HTTP/2. Tous les navigateurs et toutes les applications modernes, y compris vSphere Client, se connectent à vCenter Server à l'aide de HTTP/2. Toutefois, l'authentification par carte à puce nécessite l'utilisation du protocole HTTP/1.1. L'activation de l'authentification par carte à puce désactive la négociation de protocole de couche application (ALPN, https://tools.ietf.org/html/rfc7301) pour HTTP/2, ce qui empêche efficacement le navigateur d'utiliser HTTP/2. Les applications qui utilisent uniquement HTTP/2, sans compter sur ALPN, continuent de fonctionner.

Procédure

  1. Connectez-vous à l'interpréteur de commande vCenter Server en tant qu'utilisateur racine.
  2. Créez un magasin d'autorités de certification de client approuvé.
    Ce magasin contient les certificats approuvés émis par l'autorité de certification pour le certificat client. Dans le cas présent, le client est le navigateur à partir duquel le processus d'authentification par carte à puce invite l'utilisateur final à entrer des informations.

    L'exemple suivant illustre la création d'un magasin de certificats sur vCenter Server.

    Pour un seul certificat :
    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    Pour plusieurs certificats :

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
  3. Sauvegardez le fichier /etc/vmware-rhttpproxy/config.xml qui inclut la définition du proxy inverse et ouvrez le fichier config.xml dans un éditeur.
  4. Apportez les modifications suivantes et enregistrez le fichier.
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>
    Le fichier config.xml inclut certains de ces éléments. Supprimez les commentaires, effectuez une mise à jour ou ajoutez les éléments selon vos besoins.
  5. Redémarrez le service STS.
    service-control --restart sts