VMware Identity Manager を設定したら、機能を検証します。VMware Identity Manager が正しく設定され、検証されていない場合、ユーザーがログインを試みたときに、権限なし(エラー コード 98)のメッセージが表示されることがあります。

VMware Identity Manager が正しく設定され、検証されていない場合、ユーザーがログインを試みたときに、権限なし(エラー コード 98)のメッセージが表示されることがあります。

手順

  1. ユーザー名とパスワードを base64 でエンコードします。
    次のコマンドを実行してエンコーディングを取得し、末尾の「\n」の文字を削除します。次はその例です。
    echo -n 'sfadmin@ad.node.com:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. 各ユーザーが各ノードに API 呼び出しを実行できることを確認します。
    リモート認証の curl コマンド curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy を使用します。次はその例です。
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    これにより、次のような認証ポリシーの設定が返されます。
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    コマンドがエラーを返さない場合、 VMware Identity Manager は正常に動作しています。これ以上の操作は必要ありません。curl コマンドがエラーを返した場合、ユーザーはロックアウトされている可能性があります。
    注: アカウント ロックアウト ポリシーが設定され、ノード単位で適用されています。クラスタ内の 1 つのノードがユーザーをロックアウトしている場合は、他のノードがない可能性があります。
  3. ノードでのユーザーのロックアウトをリセットするには:
    1. ローカルの NSX Manager 管理者ユーザーを使用して、認証ポリシーを取得します。
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. 現在の作業ディレクトリにある JSON ファイルに出力を保存します。
    3. ファイルを変更して、ロックアウト期間の設定を変更します。
      たとえば、多くのデフォルトの設定には、ロックアウトと 900 秒のリセット期間が適用されています。これらの値を次のように変更して、即時リセットを有効にします。
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. 影響を受けるノードに変更を適用します。
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (オプション) 認証ポリシー設定ファイルを以前の設定に戻します。
    これにより、ロックアウトの問題が解決されます。リモート認証 API を呼び出すことができても、ブラウザからログインできない場合は、ブラウザに無効なキャッシュまたは Cookie が保存されている可能性があります。キャッシュと Cookie をクリアして、もう一度やり直してください。