Dass die Kennwörter für SSO Benutzer ein Ablaufdatum haben, hattew ich bereits in einem früheren Artikel berichtet. Man konnte das Problem elegant umgehen indem man die Standard Ablaufzeit (365 Tage) auf Null setzte (= unbegrent).
Bug oder Feature?
Ich versuchte, diese Einstellung auf einem frisch aktualisierten vCenter Server (5.5.0a) und bekam bei jedem Versuch eine Fehlermeldung ohne Information.
Für den Fehler gibt es keine Meldung
The error has no message
Der zuvor eingestellte Wert wurde nicht verändert.
Nach etwas Suche im Netz (KB2053196) fand ich heraus, daß die Verfalldauer nicht auf Null gesetzt werden kann. Statt dessen empfiehlt vmware einen entsprechend hohen Wert einzutragen (z.B. 9999 Tage).
Der Hinweistext in der GUI deutet aber darauf hin, dass dies so nicht gedacht war.
Gibt man einen von Null verschiedenen Wert an (z.B. 9999), so wird dieser problemlos übernommen.
Der neue Wert (9999) ist fortan in der Übersicht zu erkennen.
Unterschied 5.1 und 5.5
Je nach Version sind hier zwei unterschiedliche Verfahrensweisen anzuwenden:
- SSO 5.1 – Wert auf 0 (null) setzen
- SSO 5.5 – sehr großen Wert eingeben (z.B. 9999)
Dies ist nur ein weiteres Beispiel dafür, dass bei Version 5.5 offensichtlich mit der heissen Nadel gearbeitet wurde. So können seit Version 5.5 auch keine verschachtelten Berechtigungen mehr ausgewertet werden. Es bleibt zu hoffen, dass zeitig ein U1 auf den Weg kommt.
Links
- vmware KB2053196 – Editing Single Sign-On password policies fails with the error: The error has no message