2015年4月28日火曜日

vCenter Serverにドメインアカウントでログイン出来ない

vSphere Web ClientよりvCenter Serverにログインすると"認証サーバが予期しないエラーを返しました"と表示されてログイン出来なくなってしまいました。

表示されたメッセージでKBを検索すると見事にヒットしました。
# どうもvCenter Server 5.1特有の問題のようです。

vCenter Server へのログインまたは Single Sign-On が Active Directory ドメインのすべてのユーザーについてエラーで失敗する
http://kb.vmware.com/kb/2100430

KBには、Active Directoryのいずれかのサービスがダウンしている時に発生するとの記載があり、サービス稼働状況を確認してみましたが、特に問題はありませんでした。

対処方法として、正常に機能していないアイデンティティソースを削除するとの記載もあったので、こちらも試そうとしたところ、、最初の手順で躓きました。。

SSO 管理者として vSphere Web Client にログインします。
これは、デフォルトでは admin@system-Domain です。

・・・ん? admin@system-Domain?

たしかにWindows版のvCenter Serverを構築した時にはインストーラでパスワードを設定した記憶があるのですが、今回はVirtual Appliance版で構成していたこともあり、パスワードが分からずログイン出来ません。。
# 覚えていないだけかもしれませんが。。

色々調べたところ、Virtual Appliance版には「root@localos」というアカウントが存在し、こちらで同様にvSphere Web Clientにログイン出来るようです。

# ドキュメントにしっかり書いてありました。。

VMware vCenter 仮想アプライアンスの vCenter Single Sign On モードの構成
http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.vcenterhost.doc/GUID-689AC3F1-6654-4EE2-A146-663BD157FDC2.html

【抜粋】
このユーザーは Single Sign On 管理者ユーザーです (通常、Windows で実行される Single Sign On インスタンスの場合は admin@System-Domain、別の vCenter Server アプライアンスで実行される Single Sign On インスタンスの場合は root@localos)。

「root@localos」アカウントでログインしてみたところ、無時にログイン出来ました。

vSphere Web Cientにログイン出来たので、後はKBの対処法に沿ってアイデンティティソースを修正すればエラーを解消出来そうです。
# 少し長くなってしまいましたので、、実際の対処法にご興味のある方は続きをどうぞ。


vSphere Web Clientにログイン後、[管理]-[サインオンおよび検出]-[構成]-[アイデンティティソース]の順にアクセスし、問題となっているアイデンティティソースを選択して、編集ボタン(鉛筆マーク)をクリックします。

"アイデンティティソースの編集"画面が表示されますので、[接続をテスト]ボタンをクリックします。

もちろん、エラーになってしまいます。

結論から言いますと、今回ログイン出来なかった原因は、LDAP with SSL用ドメインコントローラ証明書の有効期限が切れていたことが原因だったようです。

ドメインコントローラ証明書の更新も、アイデンティティソースの編集より可能でしたので、対処手順をご紹介しておきます。

ドメインコントローラ証明書の更新
アイデンティティソースの編集画面にて、"プライマリサーバURL"もしくは"セカンダリサーバURL"いずれかの項目を修正すると、下に[証明書の選択]ボタンが現れます。

[証明書の選択]ボタンをクリックすると、"開く"画面が表示されますので、ドメインコントローラよりエクスポートした証明書を選択し、[開く]ボタンをクリックします。

証明書がvCenter Single Sign On キーストアに追加されます。

今回はドメインコントローラが2台あるので、同様の手順で証明書を2通追加しました。
本対処の関する詳細や証明書のエクスポート手順については以下のKBが参考になりました。

LDAP with SSL (LDAPS) を使用して vCenter Single Sign-On 5.1 ID ソースを構成する
http://kb.vmware.com/kb/2080552

[接続をテスト]ボタンをクリックし、正しく接続出来ることを確認します。

一度ログアウトし、再度ドメインドメインアカウントでログインします。

問題なくログイン出来ました!

今回は証明書の有効期限切れが原因でしたが、冒頭のKBにも掲載されている通り、Active Directoryのサービスがダウンしている場合にも発生するようなので、ご参考までに。

あと、今回は関係ありませんでしが、色々調べている最中に「admin@system-Domain」アカウントのパスワードをリセットする方法もありましたので、参考情報として掲載しておきます。

vCenter Single Sign On (SSO) における有効期限の切れたパスワードの再設定
http://kb.vmware.com/kb/2080274

vCenter Single Sign On(SSO)管理者パスワードのロック解除とリセット
http://kb.vmware.com/kb/2080824

vCenter Single Sign-On (SSO) のコマンド ライン オプションについて
http://kb.vmware.com/kb/2100407

0 件のコメント:

コメントを投稿