Después de configurar VMware Identity Manager™, valide la funcionalidad. A menos que VMware Identity Manager™ se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.

A menos que VMware Identity Manager™ se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.

Procedimiento

  1. Cree una codificación base64 del nombre de usuario y la contraseña.
    Ejecute el siguiente comando para obtener la codificación y eliminar el carácter final '\n'. Por ejemplo:
    echo -n '[email protected]:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. Compruebe que cada usuario puede llamar a la API para cada nodo.
    Use un comando curl de autorización remota: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy. Por ejemplo:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    Esto devuelve la configuración de directiva de autorización, por ejemplo:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    Si el comando no devuelve un error, significa que VMware Identity Manager™ funciona correctamente. No se requiere ningún paso adicional. Si el comando curl devuelve un error, es posible que el usuario esté bloqueado.
    Nota: Las directivas de bloqueo de cuentas se establecen y se aplican por nodo. Si un nodo del clúster bloqueó a un usuario, es posible que no haya otros nodos.
  3. Para restablecer un bloqueo de usuario en un nodo:
    1. Recupere la directiva de autorización mediante el usuario admin local NSX Manager:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. Guarde la salida en un archivo JSON en el directorio de trabajo actual.
    3. Modifique el archivo para cambiar la configuración del período de bloqueo.
      Por ejemplo, muchos de los ajustes predeterminados aplican períodos de bloqueo y restablecimiento de 900 segundos. Cambie estos valores para habilitar el restablecimiento inmediato, por ejemplo:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. Aplique el cambio al nodo afectado.
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (opcional) Devuelva los archivos de configuración de directiva de autorización a su configuración anterior.
    Esto debería resolver el problema de bloqueo. Si todavía puede realizar llamadas API de autenticación remota, pero aún no puede iniciar sesión a través del navegador, es posible que el navegador tenga una caché o una cookie no válidas almacenadas. Borre la memoria caché y las cookies, y vuelva a intentarlo.