Nach dem Konfigurieren von VMware Identity Manager™ validieren Sie die Funktionalität. Sofern VMware Identity Manager™ nicht ordnungsgemäß konfiguriert und validiert ist, erhalten einige Benutzer beim Anmeldeversuch möglicherweise die Fehlermeldung „Nicht autorisiert“ (Fehlercode 98).
Sofern VMware Identity Manager™ nicht ordnungsgemäß konfiguriert und validiert ist, erhalten einige Benutzer beim Anmeldeversuch möglicherweise die Fehlermeldung „Nicht autorisiert“ (Fehlercode 98).
Prozedur
- Erstellen Sie eine Base64-Kodierung des Benutzernamens und des Kennworts.
Führen Sie den folgenden Befehl aus, um die Kodierung abzurufen und das nachgestellte „\n“-Zeichen zu entfernen. Beispiel:
echo -n '[email protected]:password1234!' | base64 | tr -d '\n'
c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- Stellen Sie sicher, dass jeder Benutzer einen API-Aufruf für jeden Knoten durchführen kann.
Verwenden Sie einen curl-Befehl für die Remote-Autorisierung:
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
. Beispiel:
curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
Dadurch werden die Autorisierungsrichtlinieneinstellungen zurückgegeben, z. B.:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 900,
"api_failed_auth_reset_period": 900,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 900,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
Wenn der Befehl keinen Fehler zurückgibt, funktioniert
VMware Identity Manager™ ordnungsgemäß. Es sind keine weiteren Schritte erforderlich. Wenn der curl-Befehl einen Fehler zurückgibt, ist der Benutzer möglicherweise gesperrt.
Hinweis: Kontosperrungsrichtlinien werden festgelegt und knotenweise erzwungen. Wenn ein Knoten im Cluster einen Benutzer gesperrt hat, ist dies für andere Knoten möglicherweise nicht der Fall.
- So setzen Sie eine Benutzersperre auf einem Knoten zurück:
- Rufen Sie die Autorisierungsrichtlinie mit dem lokalen NSX Manager-Admin-Benutzer ab:
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- Speichern Sie die Ausgabe in einer JSON-Datei im aktuellen Arbeitsverzeichnis.
- Ändern Sie die Datei, um die Einstellungen für den Sperrzeitraum zu ändern.
Viele der Standardeinstellungen wenden z. B. Sperr- und Reset-Zeiträume von 900 Sekunden an. Ändern Sie diese Werte, um das sofortige Zurücksetzen zu aktivieren, z. B.:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 1,
"api_failed_auth_reset_period": 1,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 1,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
- Wenden Sie die Änderung auf den betroffenen Knoten an.
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
@<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (Optional) Setzen Sie die Einstellungsdateien der Autorisierungsrichtlinie auf die vorherigen Einstellungen zurück.
Dadurch sollte das Sperrproblem behoben werden. Wenn Sie weiterhin Remote-Authentifizierungs-API-Aufrufe durchführen können, sich aber weiterhin nicht über den Browser anmelden können, hat der Browser möglicherweise einen ungültigen Cache oder ein ungültiges Cookie gespeichert. Löschen Sie den Cache und die Cookies und versuchen Sie es erneut.