Vous pouvez utiliser l'authentification par carte à puce pour vous connecter à l'interface DCUI (Direct Console User Interface) ESXi à l'aide d'une carte à puce PIV (Personal Identity Verification), CAC (Common Access Card) ou SC650 au lieu d'entrer un nom d'utilisateur et un mot de passe.
Une carte à puce est une petite carte en plastique dotée d'une puce de circuit intégré. Beaucoup d'organismes publics et de grandes entreprises utilisent l'authentification à deux facteurs basée sur carte à puce pour renforcer la sécurité de leurs systèmes et respecter les réglementations de sécurité.
Lorsque l'authentification par carte à puce est activée sur un hôte ESXi, l'interface DCUI vous invite à entrer une combinaison valide de carte à puce et de code PIN. Cette invite remplace l'invite par défaut qui demande d'entrer un nom d'utilisateur et un mot de passe.
- Lorsque vous insérez la carte à puce dans le lecteur de carte à puce, l'hôte ESXi lit les informations d'identification qui s'y trouvent.
- L'interface DCUI ESXi affiche votre ID de connexion et vous invite à entrer votre code PIN.
- Une fois que vous avez entré le PIN, l'hôte ESXi établit la correspondance entre celui-ci et le PIN stocké sur la carte à puce et vérifie le certificat de la carte à puce à l'aide d'Active Directory.
- Une fois le certificat de la carte à puce vérifié, ESXi vous connecte à l'interface DCUI.
Si vous préférez passer à l'authentification par nom d'utilisateur et mot de passe via l'interface DCUI, appuyez sur F3.
La puce de la carte se verrouille si vous entrez plusieurs codes PIN incorrects consécutifs (trois, en général). Si une carte à puce est verrouillée, seul le personnel sélectionné peut la déverrouiller.
Activer l'authentification par carte à puce
Activez l'authentification par carte à puce afin de demander aux utilisateurs d'entrer une combinaison de carte à puce et de PIN pour se connecter à l'interface DCUI ESXi.
Conditions préalables
- Configurez l'infrastructure de manière à prendre en charge l'authentification par carte à puce, avec par exemple des comptes dans le domaine Active Directory, des lecteurs de cartes à puce et des cartes à puce.
- Configurez ESXi pour joindre un domaine Active Directory qui prend en charge l'authentification par carte à puce. Pour plus d'informations, consultez Utilisation d'Active Directory pour gérer des utilisateurs ESXi.
- Utilisez vSphere Client pour ajouter des certificats racines. Reportez-vous à la section Gestion de certificats pour les hôtes ESXi.
Procédure
Désactiver l'authentification par carte à puce
Désactivez l'authentification par carte à puce pour revenir à l'authentification par nom d'utilisateur et mot de passe par défaut pour la connexion à l'interface DCUI d'ESXi.
Procédure
S'authentifier avec le nom d'utilisateur et le mot de passe en cas de problèmes de connectivité
Si le serveur de domaine Active Directory (AD) n'est pas accessible, vous pouvez vous connecter à l'interface DCUI ESXi avec l'authentification par nom d'utilisateur et mot de passe pour réaliser des opérations de secours sur l'hôte.
Exceptionnellement, il est possible que le serveur de domaine AD ne soit pas accessible pour authentifier les informations d'identification de l'utilisateur sur la carte à puce, par exemple suite à des problèmes de connectivité, à une panne de réseau ou à un sinistre. Dans ce cas, vous pouvez vous connecter à l'interface DCUI ESXi en utilisant les informations d'identification d'un utilisateur administrateur local d'ESXi. Une fois connecté, vous pouvez exécuter des diagnostics ou toute autre mesure d'urgence. Le recours à la connexion par nom d'utilisateur et mot de passe est consigné. Une fois la connectivité avec Active Directory restaurée, l'authentification par carte à puce est réactivée.
Utilisation de l'authentification par carte à puce en mode de verrouillage
Lorsqu'il est activé, le mode de verrouillage sur l'hôte ESXi renforce la sécurité de l'hôte et limite l'accès à l'interface DCUI. Le mode de verrouillage peut empêcher l'authentification par carte à puce de fonctionner.
En mode de verrouillage normal, seuls les utilisateurs répertoriés dans la liste des utilisateurs exceptionnels et disposant de privilèges d'administration peuvent accéder à l'interface DCUI. Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant d'autorisations définies localement pour l'hôte ESXi. Si vous souhaitez utiliser l'authentification par carte à puce en mode de verrouillage normal, vous devez ajouter les utilisateurs à la liste des utilisateurs exceptionnels à partir de vSphere Client. Lorsque l'hôte passe en mode de verrouillage normal, ces utilisateurs ne perdent pas leurs autorisations et peuvent se connecter à l'interface DCUI. Pour plus d'informations, consultez Spécifier les utilisateurs exceptionnels du mode de verrouillage.
En mode de verrouillage strict, le service DCUI est interrompu. Il est donc impossible d'utiliser l'authentification par carte à puce pour accéder à l'hôte.