配置 VMware Identity Manager 后,请验证该功能。除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。
除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。
过程
- 创建采用 base64 编码的用户名和密码。
运行以下命令以获取编码,并移除尾随“\n”字符。例如:
echo -n '[email protected]:password1234!' | base64 | tr -d '\n'
c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- 确认每个用户都可以对每个节点进行 API 调用。
使用远程授权 curl 命令:
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
。例如:
curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
这将返回授权策略设置,例如:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 900,
"api_failed_auth_reset_period": 900,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 900,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
如果该命令未返回错误,则表示
VMware Identity Manager 正常工作。无需执行进一步的步骤。如果 curl 命令返回错误,则用户可能会被锁定。
注: 帐户锁定策略是按节点设置和实施的。如果集群中的一个节点已锁定用户,其他节点可能未锁定该用户。
- 要在节点上重置用户锁定,请执行以下操作:
- 使用本地 NSX Manager admin 用户检索授权策略:
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- 将输出保存到当前工作目录中的 JSON 文件。
- 修改该文件以更改锁定时间段设置。
例如,许多默认设置会应用锁定,并将锁定时间重置为 900 秒。更改这些值以启用立即重置,例如:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 1,
"api_failed_auth_reset_period": 1,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 1,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
- 将所做更改应用到受影响的节点。
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
@<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (可选) 将授权策略设置文件恢复到以前的设置。
这应可以解决锁定问题。如果您仍可以进行远程身份验证 API 调用,但仍无法通过浏览器登录,则浏览器存储缓存或 Cookie 可能无效。请清除您的缓存和 Cookie,然后重试。