設定 VMware Identity Manager™ 之後,請驗證其功能。除非已正確設定並驗證 VMware Identity Manager™,否則某些使用者在嘗試登入時,可能會收到「未獲授權」(錯誤碼 98) 訊息。
除非已正確設定並驗證 VMware Identity Manager™,否則某些使用者在嘗試登入時,可能會收到「未獲授權」(錯誤碼 98) 訊息。
程序
- 建立使用者名稱和密碼的 Base64 編碼。
執行下列命令取得編碼,並移除尾端的「\n」字元。例如:
echo -n '[email protected]:password1234!' | base64 | tr -d '\n' c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==
- 確認每個使用者都可對每個節點執行 API 呼叫。
使用遠端授權 curl 命令:
curl -k -H 'Authorization: Remote <base64 encoding string>' https://<node FQDN>/api/v1/node/aaa/auth-policy
。例如:curl -k -H 'Authorization: Remote c2ZhZG1pbkBhZC5ub2RlLmNvbTpwYXNzd29yZDEyMzQhCg==' / https://tmgr1.cptroot.com/api/v1/node/aaa/auth-policy
這會傳回授權原則設定,例如:{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 900, "api_failed_auth_reset_period": 900, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 900, "cli_max_auth_failures": 5, "minimum_password_length": 12 }
如果命令未傳回錯誤,表示 VMware Identity Manager™ 正常運作。不需要再執行其他步驟。如果 curl 命令傳回錯誤,表示使用者可能會遭到鎖定。備註: 帳戶鎖定原則可在個別節點上設定並強制執行。叢集中的一個節點鎖定使用者時,不代表其他節點也會鎖定。 - 若要重設節點上的使用者鎖定:
- 使用本機 NSX Manager admin 使用者身分擷取授權原則:
curl -k -u 'admin:<password>' https://nsxmgr/api/v1/node/aaa/auth-policy
- 將輸出儲存至目前工作目錄中的 JSON 檔案。
- 修改檔案以變更鎖定期間設定。
例如,假設有許多預設設定套用 900 秒的鎖定和重設期間。請變更這些值以啟用立即重設,例如:
{ "_schema": "AuthenticationPolicyProperties", "_self": { "href": "/node/aaa/auth-policy", "rel": "self" }, "api_failed_auth_lockout_period": 1, "api_failed_auth_reset_period": 1, "api_max_auth_failures": 5, "cli_failed_auth_lockout_period": 1, "cli_max_auth_failures": 5, "minimum_password_length": 12 }
- 將變更套用至受影響的節點。
curl -k -u 'admin:<password>' -H 'Content-Type: application/json' -d \ @<modified_policy_setting.json> https://nsxmgr/api/v1/node/aaa/auth-policy
- (選擇性) 將授權原則設定檔案回復為其先前的設定。
這樣應該可以解決鎖定問題。如果您仍可執行遠端授權 API 呼叫,但仍無法透過瀏覽器登入,表示瀏覽器可能儲存了無效的快取或 Cookie。請清除快取和 Cookie,然後再試一次。 - 使用本機 NSX Manager admin 使用者身分擷取授權原則: