Dopo aver configurato VMware Identity Manager™, convalidare la funzionalità. A meno che VMware Identity Manager™ non sia configurato e convalidato correttamente, alcuni utenti potrebbero ricevere messaggi Non autorizzato (codice di errore 98) durante il tentativo di accesso.

A meno che VMware Identity Manager™ non sia configurato e convalidato correttamente, alcuni utenti potrebbero ricevere messaggi Non autorizzato (codice di errore 98) durante il tentativo di accesso.

Procedura

  1. Creare una codifica base64 del nome utente e della password.
    Eseguire il comando seguente per ottenere la codifica e rimuovere il carattere '\n' finale. Ad esempio:
    echo -n '[email protected]:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. Verificare che ogni utente possa effettuare chiamate API a ciascun nodo.
    Utilizzare un comando curl di autorizzazione remota: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy. Ad esempio:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    In questo modo vengono restituite le impostazioni del criterio di autorizzazione, ad esempio:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    Se il comando non restituisce un errore, il VMware Identity Manager™ funziona correttamente. Non sono necessarie altre operazioni. Se il comando curl restituisce un errore, l'utente potrebbe essere bloccato.
    Nota: I criteri di blocco degli account vengono impostati e imposti in base al nodo. Se un nodo del cluster ha bloccato un utente, è possibile che altri nodi non lo abbiano fatto.
  3. Per reimpostare il blocco di un utente in un nodo:
    1. Recuperare il criterio di autorizzazione utilizzando l'utente amministratore NSX Manager locale:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. Salvare l'output in un file JSON nella directory di lavoro corrente.
    3. Modificare il file per modificare le impostazioni del periodo di blocco.
      Ad esempio, molte delle impostazioni predefinite applicano periodi di blocco e reimpostazione di 900 secondi. Modificare questi valori per abilitare la reimpostazione immediata, ad esempio:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. Applicare la modifica al nodo interessato.
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (Facoltativo) Ripristinare le impostazioni precedenti dei file delle impostazioni dei criteri di autorizzazione.
    Questo dovrebbe risolvere il problema del blocco. Se è ancora possibile effettuare chiamate API di autenticazione remota ma non è ancora possibile accedere tramite il browser, è possibile che nel browser sia memorizzata una cache o un cookie non validi. Cancellare la cache e i cookie e riprovare.