Vous pouvez utiliser l'authentification par carte à puce pour vous connecter à l'interface DCUI (Direct Console User Interface) ESXi à l'aide d'une carte à puce PIV (Personal Identity Verification), CAC (Common Access Card) ou SC650 au lieu d'entrer un nom d'utilisateur et un mot de passe.

Une carte à puce est une petite carte en plastique dotée d'une puce de circuit intégré. Beaucoup d'organismes publics et de grandes entreprises utilisent l'authentification à deux facteurs basée sur carte à puce pour renforcer la sécurité de leurs systèmes et respecter les réglementations de sécurité.

Lorsque l'authentification par carte à puce est activée sur un hôte ESXi, l'interface DCUI vous invite à entrer une combinaison valide de carte à puce et de code PIN. Cette invite remplace l'invite par défaut qui demande d'entrer un nom d'utilisateur et un mot de passe.

  1. Lorsque vous insérez la carte à puce dans le lecteur de carte à puce, l'hôte ESXi lit les informations d'identification qui s'y trouvent.
  2. L'interface DCUI ESXi affiche votre ID de connexion et vous invite à entrer votre code PIN.
  3. Une fois que vous avez entré le PIN, l'hôte ESXi établit la correspondance entre celui-ci et le PIN stocké sur la carte à puce et vérifie le certificat de la carte à puce à l'aide d'Active Directory.
  4. Une fois le certificat de la carte à puce vérifié, ESXi vous connecte à l'interface DCUI.

Si vous préférez passer à l'authentification par nom d'utilisateur et mot de passe via l'interface DCUI, appuyez sur F3.

La puce de la carte se verrouille si vous entrez plusieurs codes PIN incorrects consécutifs (trois, en général). Si une carte à puce est verrouillée, seul le personnel sélectionné peut la déverrouiller.

Activer l'authentification par carte à puce

Activez l'authentification par carte à puce afin de demander aux utilisateurs d'entrer une combinaison de carte à puce et de PIN pour se connecter à l'interface DCUI ESXi.

Conditions préalables

  • Configurez l'infrastructure de manière à prendre en charge l'authentification par carte à puce, avec par exemple des comptes dans le domaine Active Directory, des lecteurs de cartes à puce et des cartes à puce.
  • Configurez ESXi pour joindre un domaine Active Directory qui prend en charge l'authentification par carte à puce. Pour plus d'informations, consultez Utilisation d'Active Directory pour gérer des utilisateurs ESXi.
  • Utilisez vSphere Client pour ajouter des certificats racines. Reportez-vous à la section Gestion de certificats pour les hôtes ESXi.

Procédure

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Sous Système, sélectionnez Services d'authentification.
    Vous voyez l'état actuel de l'authentification par carte à puce et la liste des certificats importés.
  4. Dans le panneau Authentification par carte à puce, cliquez sur Modifier.
  5. Dans la boîte de dialogue Modifier les paramètres d'authentification par carte à puce, sélectionnez la page Certificats.
  6. Ajoutez des certificats d'autorité de certification (CA) approuvés (certificats CA racines et intermédiaires, par exemple).
    Les certificats doivent être au format PEM.
  7. Ouvrez la page Authentification par carte à puce, cochez la case Activer l'authentification par carte à puce et cliquez sur OK.

Désactiver l'authentification par carte à puce

Désactivez l'authentification par carte à puce pour revenir à l'authentification par nom d'utilisateur et mot de passe par défaut pour la connexion à l'interface DCUI d'ESXi.

Procédure

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Sous Système, sélectionnez Services d'authentification.
    Vous voyez l'état actuel de l'authentification par carte à puce et la liste des certificats importés.
  4. Dans le panneau Authentification par carte à puce, cliquez sur Modifier.
  5. Sur la page Authentification par carte à puce, décochez la case Activer l'authentification par carte à puce, puis cliquez sur OK.

S'authentifier avec le nom d'utilisateur et le mot de passe en cas de problèmes de connectivité

Si le serveur de domaine Active Directory (AD) n'est pas accessible, vous pouvez vous connecter à l'interface DCUI ESXi avec l'authentification par nom d'utilisateur et mot de passe pour réaliser des opérations de secours sur l'hôte.

Exceptionnellement, il est possible que le serveur de domaine AD ne soit pas accessible pour authentifier les informations d'identification de l'utilisateur sur la carte à puce, par exemple suite à des problèmes de connectivité, à une panne de réseau ou à un sinistre. Dans ce cas, vous pouvez vous connecter à l'interface DCUI ESXi en utilisant les informations d'identification d'un utilisateur administrateur local d'ESXi. Une fois connecté, vous pouvez exécuter des diagnostics ou toute autre mesure d'urgence. Le recours à la connexion par nom d'utilisateur et mot de passe est consigné. Une fois la connectivité avec Active Directory restaurée, l'authentification par carte à puce est réactivée.

Note : La perte de connectivité réseau avec vCenter Server n'affecte pas l'authentification par carte à puce si le serveur de domaine Active Directory (AD) est disponible.

Utilisation de l'authentification par carte à puce en mode de verrouillage

Lorsqu'il est activé, le mode de verrouillage sur l'hôte ESXi renforce la sécurité de l'hôte et limite l'accès à l'interface DCUI. Le mode de verrouillage peut empêcher l'authentification par carte à puce de fonctionner.

En mode de verrouillage normal, seuls les utilisateurs répertoriés dans la liste des utilisateurs exceptionnels et disposant de privilèges d'administration peuvent accéder à l'interface DCUI. Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant d'autorisations définies localement pour l'hôte ESXi. Si vous souhaitez utiliser l'authentification par carte à puce en mode de verrouillage normal, vous devez ajouter les utilisateurs à la liste des utilisateurs exceptionnels à partir de vSphere Client. Lorsque l'hôte passe en mode de verrouillage normal, ces utilisateurs ne perdent pas leurs autorisations et peuvent se connecter à l'interface DCUI. Pour plus d'informations, consultez Spécifier les utilisateurs exceptionnels du mode de verrouillage.

En mode de verrouillage strict, le service DCUI est interrompu. Il est donc impossible d'utiliser l'authentification par carte à puce pour accéder à l'hôte.