È possibile attivare e disattivare l'autenticazione smart card, personalizzare il banner di accesso e configurare il criterio di revoca da vSphere Client.

Se l'autenticazione smart card è attivata, mentre gli altri metodi di autenticazione sono disattivati, gli utenti devono accedere utilizzando l'autenticazione smart card.

Se l'autenticazione con nome utente e password è disattivata e si verificano problemi relativi all'autenticazione smart card, gli utenti non possono accedere. In tal caso, un utente amministratore o root può attivare l'autenticazione con nome utente e password dalla riga di comando di vCenter Server. Il comando seguente attiva l'autenticazione con nome utente e password. 
sso-config.sh -set_authn_policy -pwdAuthn true -t tenant_name

Prerequisiti

  • Verificare che nell'ambiente sia configurata un'infrastruttura a chiave pubblica (PKI) aziendale e che i certificati soddisfino i seguenti requisiti:
    • Un nome dell'entità utente (UPN) deve corrispondere a un account Active Directory nell'estensione del nome alternativo del soggetto (Subject Alternative Name).

    • Il certificato deve specificare Autenticazione client nel campo Criterio applicazione o Utilizzo chiave esteso. In caso contrario, nel browser non viene visualizzato il certificato.

  • Aggiungere un'origine identità di Active Directory in vCenter Single Sign-On.
  • Assegnare il ruolo Amministratore di vCenter Server a uno o più utenti nell'origine identità di Active Directory. Tali utenti possono quindi eseguire attività di gestione perché possono eseguire l'autenticazione e dispongono dei privilegi di amministratore di vCenter Server.
  • Assicurarsi di aver configurato il proxy inverso e di aver riavviato la macchina fisica o virtuale.

Procedura

  1. Ottenere i certificati e copiarli in una cartella accessibile all'utilità sso-config.
    1. Accedere alla console di vCenter Server, direttamente o tramite SSH.
    2. Attivare la shell, come indicato di seguito. 
      Command> shell
chsh -s "/bin/bash" root
chsh -s "bin/appliancesh" root
    3. Utilizzare WinSCP o un'utilità analoga per copiare i certificati nella directory /usr/lib/vmware-sso/vmware-sts/conf in vCenter Server.
    4. Facoltativamente, disattivare la shell, come indicato di seguito. 
      chsh -s "/bin/appliancesh" root
  2. Accedere con vSphere Client a vCenter Server.
  3. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  4. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  5. Nella scheda Provider di identità, fare clic su Autenticazione smart card, quindi fare clic su Modifica.
  6. Selezionare o deselezionare i metodi di autenticazione e fare clic su Salva.
    Non è possibile attivare o disattivare l'autenticazione RSA SecurID da questa interfaccia Web. Tuttavia, se RSA SecurID è stato attivato dalla riga di comando, il relativo stato viene visualizzato nell'interfaccia Web.
    Viene visualizzata la scheda Certificati CA attendibili.
  7. Nella scheda Certificati CA attendibili:
    1. Fare clic su Aggiungi e quindi su Sfoglia.
    2. Selezionare un certificato CA attendibile e fare clic su Aggiungi.
  8. Per aggiungere ulteriori certificati CA attendibili, ripetere il passaggio 7.

Operazioni successive

L'ambiente potrebbe richiedere una configurazione OCSP avanzata.
  • Se la risposta dell'OCSP viene emessa da un'autorità di certificazione diversa da quella che ha firmato la smart card, fornire il certificato CA di firma OCSP.
  • È possibile configurare uno o più risponditori OCSP locali per ogni sito vCenter Server in una distribuzione multisito. Per configurare questi risponditori OCSP alternativi è possibile utilizzare la CLI. Vedere Gestione dell'autenticazione smart card tramite la CLI.