È possibile utilizzare l'utilità sso-config per gestire l'autenticazione smart card dalla riga di comando. L'utilità supporta tutte le attività di configurazione delle smart card.

Lo script sso-config si trova nella seguente posizione: 
/opt/vmware/bin/sso-config.sh

La configurazione dei tipi di autenticazione e delle impostazioni di revoca supportati viene memorizzata in VMware Directory Service e replicata in tutte le istanze di vCenter Server in un dominio di vCenter Single Sign-On.

Se l'autenticazione con nome utente e password è disattivata e si verificano problemi relativi all'autenticazione smart card, gli utenti non possono accedere. In tal caso, un utente amministratore o root può attivare l'autenticazione con nome utente e password dalla riga di comando di vCenter Server. Il comando seguente attiva l'autenticazione con nome utente e password. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Se si utilizza il tenant predefinito, usare vsphere.local come nome del tenant.

Se si utilizza OCSP per il controllo revoca, è possibile fare affidamento sull'OCSP predefinito specificato nell'estensione AIA del certificato della smart card. È inoltre possibile sostituire il valore predefinito e configurare uno o più risponditori OCSP alternativi. Ad esempio, è possibile configurare i risponditori OCSP locali nel sito di vCenter Single Sign-On in modo che elaborino la richiesta di controllo revoca.

Nota: Se nel certificato non è stata definita l'opzione OCSP, utilizzare invece l'elenco di revoche dei certificati (CRL).

Prerequisiti

  • Verificare che nell'ambiente sia configurata un'infrastruttura a chiave pubblica (PKI) aziendale e che i certificati soddisfino i seguenti requisiti:
    • Un nome dell'entità utente (UPN) deve corrispondere a un account Active Directory nell'estensione del nome alternativo del soggetto (Subject Alternative Name).

    • Il certificato deve specificare Autenticazione client nel campo Criterio applicazione o Utilizzo chiave esteso. In caso contrario, nel browser non viene visualizzato il certificato.

  • Aggiungere un'origine identità di Active Directory in vCenter Single Sign-On.
  • Assegnare il ruolo Amministratore di vCenter Server a uno o più utenti nell'origine identità di Active Directory. Tali utenti possono quindi eseguire attività di gestione perché possono eseguire l'autenticazione e dispongono dei privilegi di amministratore di vCenter Server.
  • Assicurarsi di aver configurato il proxy inverso e di aver riavviato la macchina fisica o virtuale.

Procedura

  1. Ottenere i certificati e copiarli in una cartella accessibile all'utilità sso-config.
    1. Accedere alla console dell'appliance, direttamente o utilizzando SSH.
    2. Attivare la shell dell'appliance, come indicato di seguito. 
      shell
chsh -s "/bin/bash" root
    3. Utilizzare WinSCP o un'utilità analoga per copiare i certificati nella directory /usr/lib/vmware-sso/vmware-st/conf in vCenter Server.
    4. Facoltativamente, disattivare la shell, come indicato di seguito. 
      chsh -s "/bin/appliancesh" root
  2. Per attivare l'autenticazione smart card, eseguire il comando seguente. 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts first_trusted_cert.cer,second_trusted_cert.cer  -t tenant
    Ad esempio: 
    sso-config.sh -set_authn_policy -certAuthn true -cacerts MySmartCA1.cer,MySmartCA2.cer  -t vsphere.local
    Separare più certificati con virgole, ma non inserire spazi dopo la virgola.
  3. Per disattivare tutti gli altri metodi di autenticazione, eseguire i comandi seguenti. 
    sso-config.sh -set_authn_policy -pwdAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -winAuthn false -t vsphere.local
sso-config.sh -set_authn_policy -securIDAuthn false -t vsphere.local
  4. (Facoltativo) Per impostare un elenco di criteri del certificato consentiti, eseguire il comando seguente. 
    sso-config.sh -set_authn_policy -certPolicies policies
    Per specificare più criteri, separarli con una virgola, ad esempio: 
    sso-config.sh -set_authn_policy -certPolicies 2.16.840.1.101.2.1.11.9,2.16.840.1.101.2.1.11.19
    Questa lista consentita specifica gli ID oggetto dei criteri consentiti nell'estensione Criterio certificato del certificato. Un certificato X509 può avere un'estensione Criterio certificato.
  5. (Facoltativo) Attivare e configurare il controllo revoca utilizzando OCSP.
    1. Attivare il controllo revoca utilizzando OCSP. 
      sso-config.sh  -set_authn_policy -t tenantName  -useOcsp true
    2. Se il link del risponditore OCSP non viene fornito dall'estensione AIA dei certificati, specificare l'URL del risponditore OCSP sostitutivo e il certificato dell'autorità OCSP.
      L'OCSP alternativo viene configurato per ogni sito vCenter Single Sign-On. È possibile specificare più risponditori OCSP alternativi per il proprio sito vCenter Single Sign-On così da consentire il failover. 
      sso-config.sh -t tenant -add_alt_ocsp  [-siteID yourPSCClusterID] -ocspUrl http://ocsp.xyz.com/ -ocspSigningCert yourOcspSigningCA.cer
      Nota: Per impostazione predefinita, la configurazione viene applicata al sito di vCenter Single Sign-On corrente. Specificare il parametro siteID solo se si configurano OCSP alternativi per altri siti vCenter Single Sign-On.

      Si consideri l'esempio seguente. 

       .sso-config.sh -t vsphere.local -add_alt_ocsp -ocspUrl http://failover.ocsp.nsn0.rcvs.nit.disa.mil/ -ocspSigningCert ./DOD_JITC_EMAIL_CA-29__0x01A5__DOD_JITC_ROOT_CA_2.cer
 Adding alternative OCSP responder for tenant :vsphere.local
 OCSP responder is added successfully!
 [
 site::   78564172-2508-4b3a-b903-23de29a2c342
     [
     OCSP url::   http://ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
     [
     OCSP url::   http://failover.ocsp.nsn0.rcvs.nit.disa.mil/
     OCSP signing CA cert:   binary value]
     ]
 ]
    3. Per visualizzare le impostazioni del risponditore OCSP alternativo corrente, eseguire questo comando. 
      sso-config.sh -t tenantName -get_alt_ocsp]
    4. Per rimuovere le impostazioni del risponditore OCSP alternativo corrente, eseguire questo comando. 
      sso-config.sh -t tenantName -delete_alt_ocsp [-allSite] [-siteID pscSiteID_for_the_configuration]
  6. (Facoltativo) Per elencare le informazioni di configurazione, eseguire il comando seguente. 
    sso-config.sh -get_authn_policy -t tenantName