配置 VMware Identity Manager 后,请验证该功能。除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。

除非已正确配置并验证 VMware Identity Manager,否则,在尝试登录时,某些用户可能收到“未授权(错误代码 98)”(Not Authorized (Error Code 98)) 消息。

过程

  1. 创建采用 base64 编码的用户名和密码。
    运行以下命令以获取编码,并移除尾随“\n”字符。例如:
    echo -n 'sfadmin@ad.node.com:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. 确认每个用户都可以对每个节点进行 API 调用。
    使用远程授权 curl 命令: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy。例如:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    这将返回授权策略设置,例如:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    如果该命令未返回错误,则表示 VMware Identity Manager 正常工作。无需执行进一步的步骤。如果 curl 命令返回错误,则用户可能会被锁定。
    注: 帐户锁定策略是按节点设置和实施的。如果集群中的一个节点已锁定用户,其他节点可能未锁定该用户。
  3. 要在节点上重置用户锁定,请执行以下操作:
    1. 使用本地 NSX Manager 管理员用户检索授权策略:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. 将输出保存到当前工作目录中的 JSON 文件。
    3. 修改该文件以更改锁定时间段设置。
      例如,许多默认设置会应用锁定,并将锁定时间重置为 900 秒。更改这些值以启用立即重置,例如:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. 将所做更改应用到受影响的节点。
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (可选) 将授权策略设置文件恢复到以前的设置。
    这应可以解决锁定问题。如果您仍可以进行远程身份验证 API 调用,但仍无法通过浏览器登录,则浏览器存储缓存或 Cookie 可能无效。请清除您的缓存和 Cookie,然后重试。