設定 VMware Identity Manager 之後,請驗證其功能。除非已正確設定並驗證 VMware Identity Manager,否則某些使用者在嘗試登入時,可能會收到「未獲授權」(錯誤碼 98) 訊息。

除非已正確設定並驗證 VMware Identity Manager,否則某些使用者在嘗試登入時,可能會收到「未獲授權」(錯誤碼 98) 訊息。

程序

  1. 建立使用者名稱和密碼的 Base64 編碼。
    執行下列命令取得編碼,並移除尾端的「\n」字元。例如:
    echo -n 'sfadmin@ad.node.com:password1234!' | base64 | tr -d '\n'
    c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
  2. 確認每個使用者都可對每個節點執行 API 呼叫。
    使用遠端授權 curl 命令: curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy。例如:
    curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' /
    https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
    這會傳回授權原則設定,例如:
    {
      "_schema": "AuthenticationPolicyProperties",
      "_self": {
        "href": "/node/aaa/auth-policy",
        "rel": "self"
      },
      "api_failed_auth_lockout_period": 900,
      "api_failed_auth_reset_period": 900,
      "api_max_auth_failures": 5,
      "cli_failed_auth_lockout_period": 900,
      "cli_max_auth_failures": 5,
      "minimum_password_length": 12
    }
    如果命令未傳回錯誤,表示 VMware Identity Manager 正常運作。不需要再執行其他步驟。如果 curl 命令傳回錯誤,表示使用者可能會遭到鎖定。
    備註: 帳戶鎖定原則可在個別節點上設定並強制執行。叢集中的一個節點鎖定使用者時,不代表其他節點也會鎖定。
  3. 若要重設節點上的使用者鎖定:
    1. 使用本機 NSX Manager 管理員使用者身分擷取授權原則:
      curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
    2. 將輸出儲存至目前工作目錄中的 JSON 檔案。
    3. 修改檔案以變更鎖定期間設定。
      例如,假設有許多預設設定套用 900 秒的鎖定和重設期間。請變更這些值以啟用立即重設,例如:
      {
        "_schema": "AuthenticationPolicyProperties",
        "_self": {
          "href": "/node/aaa/auth-policy",
          "rel": "self"
        },
        "api_failed_auth_lockout_period": 1,
        "api_failed_auth_reset_period": 1,
        "api_max_auth_failures": 5,
        "cli_failed_auth_lockout_period": 1,
        "cli_max_auth_failures": 5,
        "minimum_password_length": 12
      }
    4. 將變更套用至受影響的節點。
      curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \
      @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
    5. (選擇性) 將授權原則設定檔案回復為其先前的設定。
    這樣應該可以解決鎖定問題。如果您仍可執行遠端授權 API 呼叫,但仍無法透過瀏覽器登入,表示瀏覽器可能儲存了無效的快取或 Cookie。請清除快取和 Cookie,然後再試一次。