È possibile configurare l'ambiente per richiedere agli utenti di accedere con un token RSA SecurID. La configurazione di SecurID è supportata solo dalla riga di comando.

Per informazioni dettagliate, vedere i due post del blog di vSphere relativi alla configurazione di RSA SecurID.

Nota: RSA Authentication Manager richiede che l'ID utente sia un identificatore univoco che utilizzi da 1 a 255 caratteri ASCII. I caratteri e commerciale (&), percentuale (%), maggiore di (>), minore di (<) e virgolette singole (') non sono consentiti.

Prerequisiti

  • Verificare che nell'ambiente sia configurato correttamente RSA Authentication Manager e che gli utenti dispongano di token RSA. È necessaria la versione 8.0 o successiva di RSA Authentication Manager.
  • Verificare che l'origine identità utilizzata da RSA Authentication Manager sia stata aggiunta a vCenter Single Sign-On. Vedere Aggiunta o modifica di un'origine identità di vCenter Single Sign-On.
  • Verificare che il sistema di RSA Authentication Manager sia in grado di risolvere il nome host di vCenter Server e che il sistema di vCenter Server sia in grado di risolvere il nome host di RSA Authentication Manager.
  • Esportare il file sdconf.rec da RSA Manager selezionando Accesso > Agenti di autenticazione > Genera file di configurazione. Per trovare il file sdconf.rec, decomprimere il file AM_Config.zip risultante.
  • Copiare il file sdconf.rec nel nodo vCenter Server.

Procedura

  1. Passare alla directory in cui si trova lo script sso-config. 
    /opt/vmware/bin
  2. Per attivare l'autenticazione RSA SecurID, eseguire il comando seguente. 
    sso-config.sh -t tenantName -set_authn_policy -securIDAuthn true
    tenantName risulta essere il nome del dominio vCenter Single Sign-On, che per impostazione predefinita è vsphere.local.
  3. (Facoltativo) Per disattivare altri metodi di autenticazione, eseguire il comando seguente. 
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Per configurare l'ambiente in modo che il tenant nel sito corrente utilizzi il sito RSA, eseguire il comando seguente. 
    sso-config.sh -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    Ad esempio: 
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    È possibile specificare le opzioni seguenti.
    Opzione Descrizione
    siteID ID del sito Platform Services Controller facoltativo. Platform Services Controller supporta un'istanza di RSA Authentication Manager o un cluster per ogni sito. Se non si specifica esplicitamente questa opzione, la configurazione RSA viene riferita al sito Platform Services Controller corrente. Utilizzare questa opzione solo se si aggiunge un altro sito.
    agentName Definito in RSA Authentication Manager.
    sdConfFile Copia del file sdconf.rec scaricato da RSA Manager e contenente le informazioni di configurazione relative a RSA Manager, come ad esempio l'indirizzo IP.
  5. (Facoltativo) Per modificare la configurazione del tenant con valori non predefiniti, eseguire il comando seguente. 
    sso-config.sh -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    I valori predefiniti risultano essere in genere appropriati, ad esempio: 
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Facoltativo) Se l'origine identità non utilizza il nome dell'entità utente come ID utente, configurare l'attributo userID dell'origine identità (supportato solo con le origini identità Active Directory su LDAP).

    L'attributo userID determina quale attributo LDAP viene utilizzato come userID di RSA. 

    sso-config.sh -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Ad esempio: 
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Per visualizzare le impostazioni correnti, eseguire il comando seguente. 
    sso-config.sh -t tenantName -get_rsa_config

risultati

Se l'autenticazione con nome utente e password è disattivata e l'autenticazione RSA è attivata, gli utenti devono accedere con il proprio nome utente e il token RSA. Non è più possibile accedere con nome utente e password.

Nota: Utilizzare il formato del nome utente userID@domainName oppure userID@domain_upn_suffix.