Après la configuration de VMware Identity Manager, validez les fonctionnalités. Sauf si VMware Identity Manager est correctement configuré et validé, certains utilisateurs peuvent recevoir des messages Non autorisé (code d'erreur 98) lors de la tentative de connexion.

Sauf si VMware Identity Manager est correctement configuré et validé, certains utilisateurs peuvent recevoir des messages Non autorisé (code d'erreur 98) lors de la tentative de connexion.

Procédure

  1. Créez un codage en Base64 du nom d'utilisateur et du mot de passe.
    Exécutez la commande suivante pour obtenir le codage et supprimer le caractère' \n' de fin. Par exemple :
    echo -n 'sfadmin@ad.node.com:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. Vérifiez que chaque utilisateur peut effectuer un appel d'API à chaque nœud.
    Utilisez une commande curl d'autorisation à distance : curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy. Par exemple :
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    Cela renvoie les paramètres de stratégie d'autorisation, tels que :
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    Si la commande ne renvoie pas d'erreur, VMware Identity Manager fonctionne correctement. Aucune autre étape n'est requise. Si la commande curl renvoie une erreur, il se peut que l'utilisateur soit verrouillé.
    Note : Les stratégies de verrouillage de compte sont définies et appliquées au niveau de chaque nœud. Si un nœud du cluster a verrouillé un utilisateur, ce n'est pas forcément le cas des autres nœuds.
  3. Pour réinitialiser un verrouillage d'utilisateur sur un nœud :
    1. Récupérez la stratégie d'autorisation à l'aide de l'utilisateur admin NSX Manager local :
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. Enregistrez la sortie dans un fichier JSON dans le répertoire de travail actuel.
    3. Modifiez le fichier pour changer les paramètres de la période de verrouillage.
      Par exemple, un grand nombre des paramètres par défaut appliquent des périodes de verrouillage et de réinitialisation de 900 secondes. Modifiez ces valeurs pour activer la réinitialisation immédiate, par exemple :
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. Appliquez la modification au nœud affecté.
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (Facultatif) Rétablissez les paramètres précédents des fichiers de paramètres de la stratégie d'autorisation.
    Cela devrait résoudre le problème de verrouillage. Si vous pouvez encore effectuer des appels d'API d'authentification à distance, mais que vous ne parvenez toujours pas à vous connecter via le navigateur, il se peut qu'un cache ou un cookie non valide soit stocké dans le navigateur. Effacez le cache et les cookies, puis réessayez.