Dopo aver configurato VMware Identity Manager™, convalidare la funzionalità. A meno che VMware Identity Manager™ non sia configurato e convalidato correttamente, alcuni utenti potrebbero ricevere messaggi Non autorizzato (codice di errore 98) durante il tentativo di accesso.
A meno che VMware Identity Manager™ non sia configurato e convalidato correttamente, alcuni utenti potrebbero ricevere messaggi Non autorizzato (codice di errore 98) durante il tentativo di accesso.
Procedura
- Creare una codifica base64 del nome utente e della password.
Eseguire il comando seguente per ottenere la codifica e rimuovere il carattere '\n' finale. Ad esempio:echo -n 'sfadmin@ad.node.com:password1234!' | base64 | tr -d '\n' c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- Verificare che ogni utente possa effettuare chiamate API a ciascun nodo.
Utilizzare un comando curl di autorizzazione remota:
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
. Ad esempio:
In questo modo vengono restituite le impostazioni del criterio di autorizzazione, ad esempio:curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' / https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 900, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "minimum_password_length": 12 }Se il comando non restituisce un errore, il VMware Identity Manager™ funziona correttamente. Non sono necessarie altre operazioni. Se il comando curl restituisce un errore, l'utente potrebbe essere bloccato.Nota: I criteri di blocco degli account vengono impostati e imposti in base al nodo. Se un nodo del cluster ha bloccato un utente, è possibile che altri nodi non lo abbiano fatto. - Per reimpostare il blocco di un utente in un nodo:
- Recuperare il criterio di autorizzazione utilizzando l'utente amministratore NSX Manager locale:
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- Salvare l'output in un file JSON nella directory di lavoro corrente.
- Modificare il file per modificare le impostazioni del periodo di blocco.
Ad esempio, molte delle impostazioni predefinite applicano periodi di blocco e reimpostazione di 900 secondi. Modificare questi valori per abilitare la reimpostazione immediata, ad esempio:{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 1, "api_failed_auth_reset_period": 1, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 1, "cli_max_auth_failures": 5, "minimum_password_length": 12 }
- Applicare la modifica al nodo interessato.
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \ @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (Facoltativo) Ripristinare le impostazioni precedenti dei file delle impostazioni dei criteri di autorizzazione.
Questo dovrebbe risolvere il problema del blocco. Se è ancora possibile effettuare chiamate API di autenticazione remota ma non è ancora possibile accedere tramite il browser, è possibile che nel browser sia memorizzata una cache o un cookie non validi. Cancellare la cache e i cookie e riprovare. - Recuperare il criterio di autorizzazione utilizzando l'utente amministratore NSX Manager locale: