stock.adobe.com
Zwei-Faktor-Authentifizierung in VMware vCenter einrichten
Um Ihre VMware-Umgebung noch besser zu schützen, sollten Sie Zwei-Faktor-Authentifizierung implementieren. So können Zugangsdaten nicht mehr missbraucht werden.
Stellen Sie sich vor, eine Person hat Zugangsdaten zu vCenter erhalten, obwohl sie diese nicht haben darf. Diese Person hat damit jederzeit Zugang zu Ihrem System und kann Ihrem Unternehmen schaden.
Als Abhilfe zu solchen Szenarien bietet sich die sogenannte Zwei-Faktor-Authentifizierung (abgekürzt auch 2FA) an. Sie verhindert, dass man sich nur mit Zugangsdaten an einem System anmelden kann und basiert auf der Idee, dass für die Anmeldung eine Kombination aus etwas, das Sie wissen (Zugangsdaten) und etwas, das Sie haben (Token) erforderlich ist. So ein Token kann etwa ein sich zeitlich stets verändernder Code sein, (so macht es Google Authenticator). Für den Einsatz in Konzernen lässt sich dieses Konzept mit kleinen Anpassungen einrichten.
In diesem Artikel möchten wir Ihnen zeigen, wie Sie die Zwei-Faktor-Authentifizierung mit vCenter nutzen und sie in VMware mit Features aus vSphere konfigurieren.
Implementierung von 2FA
Vmware unterstützt offiziell nur zwei 2FA-Anbieter, nämlich das asymmetrisch kryptografische Verfahren RSA (Random Sequential Adsorption) und gewöhnliche Smartcards.
Ein Hinweis, bevor wir loslegen: RSA 2FA funktioniert nicht direkt auf ESXi-Hosts, wenn es über SSH (Secure Shell), Drittanbieter-Tools oder einen Legacy Thick Client erfolgt. Gut funktionieren hingegen der HTML-basierte vSphere Webclient sowie vCenter, vorausgesetzt, auf dem ESXi-Host ist Active Directory (AD) gemäß den VMware-Standards aktiviert.
Sobald Sie in vCenter die 2FA aktiviert haben, müssen Sie sämtliche weiteren Vorgänge im Webclient vornehmen. Stellen Sie also vorab sicher, dass alle webbasierenden Komponenten tatsächlich funktionieren.
Die Rolle des Active Directorys bei der 2FA
Vor dem Aufsetzen der Zwei-Faktor-Authentifizierung müssen Sie sicherstellen, dass Active Directory in vCenter integriert ist. Vor jedem weiteren Schritt sollten Sie außerdem prüfen, dass die AD-Anmeldungen funktioniert.
Je größer Ihre Umgebung ist, desto eher neigt AD dazu, Probleme mit Hosts zu haben. Auf die Gefahr hin, übermäßig vorsichtig zu wirken: Sie sollten sich sicher sein, dass alles wie gewünscht funktioniert. Die meisten Umgebungen sind bereits mit AD konfiguriert, so dass Sie hier gar keine Probleme zu erwarten haben. Merken Sie sich aber für die Zukunft, dass AD eine Voraussetzung für den Einsatz von RSA in der Infrastruktur ist.
AD verbindet die VMware-Infrastruktur, die Tokens und die RSA-Komponenten. Nochmals: Testen Sie das AD auf vollständige Funktionalität, bevor Sie die Implementierung auch nur in die Nähe einer VMware-Produktivumgebung bringen.
Achten Sie zudem vor der Etablierung der Zwei-Faktor-Authentifizierung ausdrücklich auf Probleme oder Fehler in der gesamten Umgebung. Testen Sie 2FA zunächst auch in einer sauberen, nicht produktiven Umgebung mit Backup.
Wie Sie Probleme bei 2FA lösen
Nachdem Sie AD verifiziert haben, müssen Sie die RSA Single Sign-On (SSO) Identitätsquelle installieren.
Gleich sind Sie so weit, den Dienst aktivieren zu können. Vorab jedoch stellen Sie sicher, dass alle wichtigen Komponenten erfolgreich gefunden werden und sich miteinander erwartungsgemäß verbinden. Das heißt: Das Domain Name System (DNS) muss korrekt auflösen und es darf keine Konnektivitätsprobleme zwischen den Komponenten der Infrastruktur geben. Ein Hinweis am Rande: Multibyte-Zeichen werden von RSA nicht unterstützt.
Mithilfe des Befehls sso-config können Sie die Konfiguration direkt auf der SSO-Appliance ein- oder ausschalten und das Setup ändern. Läuft das System erst einmal, so lassen sich andere Systeme ausschalten, die 2FA nicht unterstützen.
Tatsächlich ist es nicht besonders aufwendig, vCenter mit Zwei-Faktor-Authentifizierung zu versehen – erst recht nicht über einen validierten Dienst. Wenn Sie Ihre Sicherheit erhöhen wollen, und damit haben wir diesen Artikel ja begonnen, dann ist diese Möglichkeit ein einfacher und effektiver Weg dahin. Die verfügbaren Befehle sollten Sie dennoch kennen: Insbesondere sollten Sie wissen, wie Sie die 2FA wieder abschalten, wenn etwas schiefgeht.
