Solved: Active Directory (Windows Integrated Authenticatio...

Andrey_Litvinov · ‎02-28-2019

Здравствуйте.

Имеется VMware vCenter Server 6 Essentials 6.7.0.21000 11726888. Не получается настроить Active Directory (Windows Integrated Authentication). Завел vCenter в домен, перегрузил. В identity sources добавил Active Directory (Windows Integrated Authentication), FQDN домена, Use machine account.

Завел доменную учетку в Access Control-Global Permissions, роль администратора, Propagate to children

Так вот через плагин(VMware-EnhancedAuthenticationPlugin-6.7.0) заходит по "Использовать проверку подлинности сеанса Windows". А вот если вручную ввести учетку user@domain domain\user, пишет «Неверное имя пользователя или пароль».

Проверял все по этой статье, все в норме https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-8C553435-27CD-4410-ACA9-9A84EA...

Часовой пояс время vCenter и контроллера домена совпадают. Пробовал выводить vCenter из домена и заводить назад, не помогает. Даже с нуля создал в тестовой среде другой домен, поставил другой vCenter. В итоге та же малина. Через плагин заходит, через вручную прописанные данные – нет.

Глянул еще логи, но тут инфы не много:

tail -n 10 -f /var/log/vmware/sso/*.log

[2019-02-28T15:59:58.851+02:00 tomcat-http--10 vsphere.local c0f40d62-b2d0-4fd3-8309-d3dc61cdfcf4 INFO com.vmware.identity.samlservice.impl.SAMLAuthnResponseSender] Responded with ERROR 401 message Неверное имя пользователя или пароль

Может кто сталкивался? Какие будут идеи? Какие еще логи посмотреть

Andrey_Litvinov · ‎03-12-2019

Решили проблему следующим образом. Снесли Сферу, прописали в днс домена имя новой сферы - vcenter. При установке новой Сферы, сразу указали имя и домен vcenter.domain. После установки, так же добавили сферу в домен, перегрузили, добавили AD WIA. И вот теперь доменные юзеры могут авторизироваться, как с плагином, так и без. Если поставить домен АД по умолчанию, то можно авторизироваться по имени юзера, не прописывая имя домена. Только вот чего-то при входе говорит что срок действия пароля истекает. Хотя в домене он не искает и в политике паролей поставил "Password must be changed every 0 days".

View solution in original post

Finikiez · ‎03-03-2019

Добрый день!

Какой уровень домена установлен?

Если поставить VCSA 6.5 те же проблемы?

Если сделать не как IWA, а как AD as LDAP через учетную запись, работает авторизация?

Andrey_Litvinov · ‎03-04-2019

Windows Server 2016

6.5 не пробовал. А разве он поддерживает 2016?

LDAP не получается настроить. Делаю так. Допустим домен domain.com.ua

Name: domain.com.ua

Base distinguished name for users: DC=domain,DC=com,DC=ua

Base distinguished name for groups: DC=domain,DC=com,DC=ua

Domain name: domain.com.ua

Username: уч. администратора домена

Connect To: Any domain controller in the domain

В ответ получаю: "Check the network settings and make sure you have network access to the identity source"

Притом что на бесплатном proxmox-е все гораздо проще. Там так же ставлю AD авторизацию, порт 636, SSL и все работает. По какому порту по умолчанию лезет Сфера и где его поменять? И опять же, по "Использовать проверку подлинности сеанса Windows" заходит же.

Finikiez · ‎03-04-2019

А сколько у вас всего контроллеров домена?

Возможно PSC пытается подключиться к недоступному DC

Попробуйте указать конкретные IP адресы ближайших DC.

Сами порты описаны в документации Required Ports for vCenter Server and Platform Services Controller

Помимо этого, вы случайно не создали SSO домен с таким же именем, что и ваш домен непосредственно? Вот здесь описана схожая проблема

https://www.reddit.com/r/vmware/comments/8y5vjy/unable_to_add_ad_as_sso_identity_source_in_vcsa/

Andrey_Litvinov · ‎03-04-2019

DC основных 2. С суппортом vmware пытались добавить по Open Ldap. Выяснили, что по айпи и по имени доступ есть. Все порты открыты, кроме 123, 137. Но все равно по йпи тоже пытался добавить. В логах пишет Failed to probe provider connectivity [URI: ldap://. Добавляли как по 389, так и по 636 с сертификатом. Ошибка та же. Имена доменов разные.

Finikiez · ‎03-06-2019

Без наглядных картинок и точного описания вам тут ничем не помочь.

С высокой долей вероятности у вас не хватает портов открытых.

Andrey_Litvinov · ‎03-06-2019

С портами все нормально, что подтвердила тех поддержка VMWARE

Finikiez · ‎03-06-2019

Итого:

правильно я понял, что в двух разных инсталляциях AD и VCSA 6.7 у вас есть проблемы добавления доменного identity source как LDAP и проблемы входа доменным пользователем используя имя\пароль?

В обоих случаях вы можете :

- подключить VCSA к домену

- добавить identity source как IWA

- логиниться с помощью плагина

Все так?

Andrey_Litvinov · ‎03-06-2019

Да.

Finikiez · ‎03-07-2019

В сценарии с вашим стендом - vcsa и dc живут в одной сети без файрволов?

Andrey_Litvinov · ‎03-07-2019

В разных сетях с фаерволами. Но все порты из списка доступны Сфере VMware Knowledge Base

К тому же, я создал тестовый домен и установил новую Сферу в одной сети без фаервола и результат оказался таким же.

Теперь вот создал еще один тестовый домен, завел туда рабочую Сферу, перегрузился и теперь часть служб в т.ч. VMware vCenter Server не стартует.... Только проблемы с этой Сферой.

Finikiez · ‎03-07-2019

Если честно, то я не разделяю вашего пессимизма.

Посмотрю у себя в лабе с этими версиями.

Andrey_Litvinov · ‎03-12-2019

Решили проблему следующим образом. Снесли Сферу, прописали в днс домена имя новой сферы - vcenter. При установке новой Сферы, сразу указали имя и домен vcenter.domain. После установки, так же добавили сферу в домен, перегрузили, добавили AD WIA. И вот теперь доменные юзеры могут авторизироваться, как с плагином, так и без. Если поставить домен АД по умолчанию, то можно авторизироваться по имени юзера, не прописывая имя домена. Только вот чего-то при входе говорит что срок действия пароля истекает. Хотя в домене он не искает и в политике паролей поставил "Password must be changed every 0 days".

View solution in original post

Finikiez · ‎03-12-2019

Наличие записей в DNS до момента инсталляции VC - это обязательное требование

Before you deploy the vCenter Server Appliance or Platform Services Controller appliance with a static IP address, you must verify that this IP address has a valid internal domain name system (DNS) registration.

DNS Requirements for the vCenter Server Appliance and Platform Services Controller Appliance

А раньше вы как делали?

Andrey_Litvinov · ‎03-13-2019

internal domain name system (DNS) registration. Тут не понятно. internal это же видимо System Domain, а не AD domain. Основное тут условие, думаю в прописывании AD домена во время установки, а для этого естественного надо прописать Сферу в ДНС-е.

Andrey_Litvinov · ‎03-13-2019

Раньше ставил Сферу со стандартным именем photon-machine. Потом прописывал ее в ДНС-е домена. Потом успешно добавлял в домен. Но авторизацию не получалось прикрутить, хотя запись photon-machine автоматически добавлялась в компьютеры AD.

Finikiez · ‎03-14-2019

документация говорит о просто вещи: перед инсталляцией vcenter у вас должен иметься работающий DNS сервер и в нем должна быть создана запись в прямой и обратной зоне, с именем сервера vcenter.

Далее при инсталляции в system name вы указывает FQDN сервера vcenter.

Andrey_Litvinov · ‎03-14-2019

В какой документации? Из того массива инструкций и тем что я перечитал, нигде не видел, чтобы именно при установке самой Сферы заранее должна быть прописана днс запись, выдано имя и прописан домен из АД. Заранее всегда был прописан айпишник, днс-ы и гейт. В статьях по решению проблем, больше внимания обращалось на правильные днс-ы и доступные определенные порты на контроллере домена. Эти же вещи проверял специалист тех поддержки.

Finikiez · ‎03-15-2019

Ссылку на раздел я привел выше и выдержку, только вы ее немного по-другому трактуете, хотя там написано именно так, что запись в DNS должна быть создана до момента инсталляции vcenter