Configurazione e gestione dell'autenticazione smart card per ESXi

È possibile utilizzare l'autenticazione con smart card per accedere all'interfaccia utente di Direct Console (DCUI) di ESXi utilizzando una verifica dell'identità personale (PIV), una smart card di accesso comune (CAC) o una smart card SC650 invece di specificare un nome utente e una password.

Una smart card è una piccola tessera di plastica contenente un chip di circuito integrato. Numerose agenzie governative e le aziende di grandi dimensioni utilizzano l'autenticazione a due fattori basata su smart card per aumentare la sicurezza dei propri sistemi ed essere conformi alle normative di sicurezza.

Quando l'autenticazione con smart card è abilitata su un host ESXi, la DCUI richiede una combinazione di smart card e PIN anziché l'immissione predefinita di un nome utente e una password.

Quando si inserisce la smart card in un lettore, l'host ESXi legge le credenziali in essa contenute.
La DCUI di ESXi visualizza l'ID di accesso e richiede il PIN.
Dopo aver immesso il PIN, l'host ESXi lo associa al PIN archiviato nella smart card e verifica il certificato corrispondente con Active Directory.
Dopo aver verificato correttamente il certificato della smart card, ESXi consente l'accesso alla DCUI.

È possibile passare all'autenticazione con nome utente e password dalla DCUI premendo il tasto F3.

Il chip della smart card si blocca dopo l'immissione consecutiva di un numero di PIN errati, solitamente pari a tre. Se una smart card risulta bloccata, potrà essere sbloccata soltanto da un team di addetti apposito.

Attivazione dell'autenticazione smart card

Attivare l'autenticazione smart card per richiedere la combinazione di smart card e PIN per accedere a DCUI di ESXi.

Prerequisiti

Configurare l'infrastruttura per gestire l'autenticazione smart card, ad esempio gli account nel dominio di Active Directory, i lettori di smart card e le smart card.
Configurare ESXi per aggiungere un dominio di Active Directory che supporti l'autenticazione smart card. Per ulteriori informazioni, vedere Utilizzo di Active Directory per gestire gli utenti ESXi.
Utilizzare vSphere Client per aggiungere certificati root. Vedere Gestione dei certificati per gli host ESXi.

Procedura

Passare all'host nell'inventario di vSphere Client.
Fare clic su Configura.
In Sistema, selezionare Servizi di autenticazione.
Viene visualizzato lo stato di autenticazione della smart card corrente e un elenco contenente i certificati importati.
Nel pannello Autenticazione smart card, fare clic su Modifica.
Nella finestra di dialogo Modifica autenticazione smart card, selezionare la pagina Certificati.
Aggiungere certificati di un'autorità di certificazione (CA) attendibile, ad esempio certificati CA root e intermediari.
I certificati devono essere in formato PEM.
Aprire la pagina Autenticazione smart card, selezionare la casella di controllo Abilita autenticazione smart card e fare clic su OK.

Disattivazione dell'autenticazione smart card

Disattivare l'autenticazione smart card per tornare all'autenticazione predefinita con nome utente e password per l'accesso DCUI di ESXi.

Procedura

Passare all'host nell'inventario di vSphere Client.
Fare clic su Configura.
In Sistema, selezionare Servizi di autenticazione.
Viene visualizzato lo stato di autenticazione della smart card corrente e un elenco contenente i certificati importati.
Nel pannello Autenticazione smart card, fare clic su Modifica.
Nella pagina Autenticazione con smart card, deselezionare la casella di controllo Abilita autenticazione smart card e fare clic su OK.

Autenticazione con nome utente e password in caso di problemi di connettività

Se il server di dominio Active Directory (AD) non è raggiungibile, è possibile accedere alla DCUI di ESXi mediante l'autenticazione con nome utente e password per eseguire azioni di emergenza sull'host.

In circostanze eccezionali, il server di dominio AD non è raggiungibile per eseguire l'autenticazione delle credenziali utente sulla smart card a causa di problemi di connettività, interruzione della rete o arresti anomali del sistema. In questo caso, è possibile accedere alla DCUI di ESXi utilizzando le credenziali di un utente amministratore locale di ESXi. Dopo aver effettuato l'accesso, è possibile eseguire la diagnostica o altre azioni di emergenza. Viene registrato il fallback all'accesso con nome utente e password. Quando viene ripristinata la connettività su AD, l'autenticazione della smart card viene abilitata nuovamente.

Nota: La perdita della connettività di rete a vCenter Server non influisce sull'autenticazione con smart card se è disponibile il server di dominio Active Directory (AD).

Utilizzo dell'autenticazione con smart card in modalità di blocco

Quando è attivata, la modalità di blocco nell'host ESXi aumenta la sicurezza dell'host e limita l'accesso a DCUI. La modalità di blocco potrebbe impedire il funzionamento dell'autenticazione smart card.

In modalità di blocco normale, solo gli utenti compresi nell'elenco Utenti eccezione con privilegi di amministratore possono accedere al DCUI. Gli Utenti eccezione sono utenti locali host o utenti Active Directory con autorizzazioni definite localmente per l'host ESXi. Se si desidera utilizzare l'autenticazione con smart card in modalità di blocco normale, è necessario aggiungere gli utenti all'elenco Utenti eccezione da vSphere Client. Tali utenti non perdono le proprie autorizzazioni quando l'host passa alla modalità di blocco normale e può accedere al DCUI. Per ulteriori informazioni, vedere Specifica gli utenti eccezione modalità blocco.

In modalità di blocco stretta, il servizio DCUI viene arrestato. Di conseguenza, non è possibile accedere all'host utilizzando l'autenticazione con smart card.