Después de configurar VMware Identity Manager™, valide la funcionalidad. A menos que VMware Identity Manager™ se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.
A menos que VMware Identity Manager™ se haya configurado y validado correctamente, algunos usuarios pueden recibir mensajes no autorizados (código de error 98) al intentar iniciar sesión.
Procedimiento
- Cree una codificación base64 del nombre de usuario y la contraseña.
Ejecute el siguiente comando para obtener la codificación y eliminar el carácter final '\n'. Por ejemplo:
echo -n '[email protected]:password1234!' | base64 | tr -d '\n'
c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- Compruebe que cada usuario puede llamar a la API para cada nodo.
Use un comando curl de autorización remota:
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
. Por ejemplo:
curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
Esto devuelve la configuración de directiva de autorización, por ejemplo:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 900,
"api_failed_auth_reset_period": 900,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 900,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
Si el comando no devuelve un error, significa que
VMware Identity Manager™ funciona correctamente. No se requiere ningún paso adicional. Si el comando curl devuelve un error, es posible que el usuario esté bloqueado.
Nota: Las directivas de bloqueo de cuentas se establecen y se aplican por nodo. Si un nodo del clúster bloqueó a un usuario, es posible que no haya otros nodos.
- Para restablecer un bloqueo de usuario en un nodo:
- Recupere la directiva de autorización mediante el usuario admin local NSX Manager:
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- Guarde la salida en un archivo JSON en el directorio de trabajo actual.
- Modifique el archivo para cambiar la configuración del período de bloqueo.
Por ejemplo, muchos de los ajustes predeterminados aplican períodos de bloqueo y restablecimiento de 900 segundos. Cambie estos valores para habilitar el restablecimiento inmediato, por ejemplo:
{
"_schema": "AuthenticationPolicyProperties",
"_self": {
"href": "/node/aaa/auth-policy",
"rel": "self"
},
"api_failed_auth_lockout_period": 1,
"api_failed_auth_reset_period": 1,
"api_max_auth_failures": 5,
"cli_failed_auth_lockout_period": 1,
"cli_max_auth_failures": 5,
"minimum_password_length": 12
}
- Aplique el cambio al nodo afectado.
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
@<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (opcional) Devuelva los archivos de configuración de directiva de autorización a su configuración anterior.
Esto debería resolver el problema de bloqueo. Si todavía puede realizar llamadas API de autenticación remota, pero aún no puede iniciar sesión a través del navegador, es posible que el navegador tenga una caché o una cookie no válidas almacenadas. Borre la memoria caché y las cookies, y vuelva a intentarlo.