VMware Identity Manager を構成したら、機能を検証します。VMware Identity Manager が正しく構成され、検証されていない場合、ユーザーがログインを試みたときに、権限なし(エラー コード 98)のメッセージが表示されることがあります。
VMware Identity Manager が正しく構成され、検証されていない場合、ユーザーがログインを試みたときに、権限なし(エラー コード 98)のメッセージが表示されることがあります。
手順
- ユーザー名とパスワードを base64 でエンコードします。
次のコマンドを実行してエンコーディングを取得し、末尾の「\n」の文字を削除します。次はその例です。
echo -n '[email protected]:password1234!' | base64 | tr -d '\n' c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- 各ユーザーが各ノードに API 呼び出しを実行できることを確認します。
リモート認証の curl コマンド
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
を使用します。次はその例です。curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' / https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
これにより、次のような認証ポリシーの設定が返されます。{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 900, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "minimum_password_length": 12 }
コマンドがエラーを返さない場合、 VMware Identity Manager は正常に動作しています。これ以上の操作は必要ありません。curl コマンドがエラーを返した場合、ユーザーはロックアウトされている可能性があります。注: アカウント ロックアウト ポリシーが設定され、ノード単位で適用されています。クラスタ内の 1 つのノードがユーザーをロックアウトしている場合は、他のノードがない可能性があります。 - ノードでのユーザーのロックアウトをリセットするには:
- ローカルの NSX Manager admin ユーザーを使用して、認証ポリシーを取得します。
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- 現在の作業ディレクトリにある JSON ファイルに出力を保存します。
- ファイルを変更して、ロックアウト期間の設定を変更します。
たとえば、多くのデフォルトの設定には、ロックアウトと 900 秒のリセット期間が適用されています。これらの値を次のように変更して、即時リセットを有効にします。
{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 1, "api_failed_auth_reset_period": 1, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 1, "cli_max_auth_failures": 5, "minimum_password_length": 12 }
- 影響を受けるノードに変更を適用します。
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \ @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (オプション) 認証ポリシー設定ファイルを以前の設定に戻します。
これにより、ロックアウトの問題が解決されます。リモート認証 API を呼び出すことができても、ブラウザからログインできない場合は、ブラウザに無効なキャッシュまたは Cookie が保存されている可能性があります。キャッシュと Cookie をクリアして、もう一度やり直してください。 - ローカルの NSX Manager admin ユーザーを使用して、認証ポリシーを取得します。