Después de configurar VMware Identity Manager, valide la funcionalidad. A menos que VMware Identity Manager se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.

A menos que VMware Identity Manager se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.

Procedimiento

  1. Cree una codificación base64 del nombre de usuario y la contraseña.
    Utilice el comando echo 'username@fqdn:password' | base64 para devolver la codificación. Por ejemplo:
    echo 'sfadmin@ad.node.com:password123!' | base64
    c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg==
  2. Elimine el último carácter "=" (signo igual) de la cadena de codificación base64 devuelta y guarde la cadena para un paso posterior.
    Por ejemplo, si el comando devolvió c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg==, guarde c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg=.
  3. Compruebe que cada usuario puede llamar a la API para cada nodo.
    Use un comando curl de autorización remota: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy. Por ejemplo:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5jcHRyb290LmNvbTpWbXdhcmUxMjMhCg=' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    Esto devuelve la configuración de directiva de autorización, por ejemplo:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    Si el comando no devuelve un error, significa que la iss de VMware Identity Manager funciona correctamente. No se requiere ningún paso adicional. Si el comando curl devuelve un error, es posible que el usuario esté bloqueado.
    Nota: Las directivas de bloqueo de cuentas se establecen y se aplican por nodo. Si un nodo del clúster bloqueó a un usuario, es posible que no haya otros nodos.
  4. Para restablecer un bloqueo de usuario en un nodo:
    1. Recupere la directiva de autorización mediante el usuario administrador local NSX Manager:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. Guarde la salida en un archivo JSON en el directorio de trabajo actual.
    3. Modifique el archivo para cambiar la configuración del período de bloqueo.
      Por ejemplo, muchos de los ajustes predeterminados aplican períodos de bloqueo y restablecimiento de 900 segundos. Cambie estos valores para habilitar el restablecimiento inmediato, por ejemplo:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. Aplique el cambio al nodo afectado.
      curl -k -u 'admin:<password' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (opcional) Devuelva los archivos de configuración de directiva de autorización a su configuración anterior.
    Esto debería resolver el problema de bloqueo. Si todavía puede realizar llamadas API de autenticación remota, pero aún no puede iniciar sesión a través del navegador, es posible que el navegador tenga una caché o una cookie no válidas almacenadas. Borre la memoria caché y las cookies, y vuelva a intentarlo.