Editions ENI Livres | Vidéos | e-Formations
Gestion des certificats et de l’authentification
Introduction
vSphere propose des services d’infrastructure partagés qui assurent la gestion des certificats pour les composants de vCenter Server et des hôtes ESXi, tout en prenant en charge l’authentification centralisée grâce à vCenter Single Sign-On.
Certificats
Par défaut, vSphere installe des certificats émis par l’autorité de certification VMware (VMCA) pour les composants vCenter Server et les hôtes ESXi, ce qui permet de sécuriser l’environnement dès le départ, sans configuration supplémentaire. Maintenir cette configuration par défaut permet de réduire la charge de gestion des certificats, mais cela présente certains risques et limitations, notamment en contexte d’entreprise ou de conformité. Il est également possible d’opter pour des certificats personnalisés, qui sont alors enregistrés dans le VMware Endpoint Certificate Store (VECS).
Pour vCenter Server ainsi que les machines et services associés, les types de certificats suivants sont pris en charge :
Certificats générés et signés par VMware Certificate Authority (VMCA) qui agit comme autorité de certification racine pour l’environnement vSphere.
Certificats personnalisés, incluant les Certificats d’entreprise issus d’une infrastructure de clés publiques (PKI) interne ou signés par une autorité de certification externe telle que Verisign.
Les certificats autosignés créés avec OpenSSL, ne reposant sur aucune autorité de certification racine, ne sont pas pris en charge.
La gestion des certificats vCenter Server peut s’effectuer via le vSphere Client, ou en utilisant des API, des scripts, ou en ligne de commande.
Dans cet exemple, la gestion des certificats de vCenter Server s’effectuera directement via l’interface du client vSphere. Voici les étapes à suivre pour accéder aux fonctionnalités de gestion des certificats :
Connectez-vous à votre serveur vCenter Server avec un compte disposant des droits d’administrateur dans le domaine vCenter Single...
Authentification avec vCenter Single Sign-On
vCenter Single Sign-On (SSO) sert de service centralisé d’authentification et de mécanisme d’échange de jetons de sécurité. Lorsqu’un utilisateur s’identifie, SSO génère un jeton qu’il peut ensuite utiliser pour accéder aux services de vCenter Server. Ce jeton permet à l’utilisateur d’effectuer les opérations pour lesquelles il possède les autorisations nécessaires.
Toutes les communications sont chiffrées, et seules les personnes authentifiées peuvent exécuter les actions correspondant à leurs privilèges, garantissant ainsi la sécurité de l’environnement.
Les utilisateurs et les comptes de service peuvent s’authentifier soit par jeton, soit via un identifiant et un mot de passe. Les comptes de solution, quant à eux, utilisent un certificat pour s’authentifier.
L’authentification peut se faire de plusieurs façons :
-
Les utilisateurs et les comptes de service s’identifient via un jeton ou un couple nom d’utilisateur/mot de passe.
-
Les comptes de solution utilisent un certificat pour s’authentifier.
Une fois l’utilisateur authentifié via vCenter Single Sign-On, il est essentiel de lui attribuer les droits d’accès nécessaires pour effectuer des tâches spécifiques dans l’environnement vSphere. Cette gestion des autorisations repose sur l’attribution de privilèges vCenter Server et les utilisateurs sont généralement intégrés à des groupes, eux-mêmes associés à des rôles prédéfinis. Chaque rôle détermine un ensemble d’actions que les membres du groupe sont autorisés à réaliser. En complément, vSphere offre des modèles d’autorisation supplémentaires, tels que les autorisations globales, qui s’appliquent à l’ensemble de l’infrastructure vCenter.
Pour garantir l’authentification et la sécurité, vCenter SSO repose sur plusieurs services :
-
Authentification des utilisateurs via une fédération de fournisseur d’identité externe (par exemple, ADFS ou Microsoft Entra ID) ou le fournisseur d’identité intégré...