配置 VMware Identity Manager 后,请验证该功能。除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。

除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。

过程

  1. 创建采用 base64 编码的用户名和密码。
    使用 echo 'username@fqdn:password' | base64 命令返回编码。例如:
    echo 'sfadmin@ad.node.com:password123!' | base64
    c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg==
  2. 从返回的 base64 编码字符串中移除最后一个“=”(等号)字符,并保存该字符串以供后续步骤使用。
    例如,如果命令返回 c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg==,则请保存 c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg=
  3. 确认每个用户都可以对每个节点进行 API 调用。
    使用远程授权 curl 命令: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy。例如:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg=' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    这将返回授权策略设置,例如:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    如果该命令未返回错误,则表示 VMware Identity Manager 在正常运行。无需执行进一步的步骤。如果 curl 命令返回错误,则用户可能会被锁定。
    注: 帐户锁定策略是按节点设置和实施的。如果集群中的一个节点已锁定用户,其他节点可能未锁定该用户。
  4. 要在节点上重置用户锁定,请执行以下操作:
    1. 使用本地 NSX Manager 管理员用户检索授权策略:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. 将输出保存到当前工作目录中的 JSON 文件。
    3. 修改该文件以更改锁定时间段设置。
      例如,许多默认设置会应用锁定,并将锁定时间重置为 900 秒。更改这些值以启用立即重置,例如:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. 将所做更改应用到受影响的节点。
      curl -k -u 'admin:<password' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (可选) 将授权策略设置文件恢复到以前的设置。
    这应可以解决锁定问题。如果您仍可以进行远程身份验证 API 调用,但仍无法通过浏览器登录,则浏览器存储缓存或 Cookie 可能无效。请清除您的缓存和 Cookie,然后重试。