vCenter SSO Passwort Troubleshooting

Der Single-Signon Dienst unter vCenter gibt immer wieder Anlass für Kurzweil. 🙂

Was bei der Einrichtung oft übersehen wird, ist die Tatsache, dass das Masterpasswort und andere SSO Passwörter nach 365 Tagen verfallen.
sso_Pass01

Das ist kein Bug, sondern eine Sicherheitsfunktion (ist es das?). Ich persönlich halte nichts von Passwort Alterung. Das führt nur zu unsicheren Passwörten, oder Post-It Aufklebern unter der Tastatur.

Man kann den Ablauf des Passwortes verhindern, indem man den Wert auf Null setzt. Das bedeutet unbegrenzte Laufzeit.

SSO_Pass02

Master bleibt Master

Ein wichtiger Hinweis am Rande: Das zum Installationszeitpunkt vergebene Passwort für admin@System-Domain ist das Masterpasswort für SSO und kann nicht geändert werden. Auch wenn man das Passwort für den Benutzer admin@System-Domain ändert, so bleibt das Masterpasswort erhalten. Daher sollte man dieses sehr gut dokumentieren. Es wird gebraucht, um z.B. ein gesperrtes Konto zu reaktivieren.

 Abgelaufenes SSO Benutzerkonto zurücksetzen

Was kann man tun, wenn die 365 Tage verstichen sind und das Passwort abgelaufen ist?

Die Prozedur wird in der VMware KB2035864 erklärt.

vCenter auf Windows Host

  • Kommandozeile als Administrator ausführen
SET JAVA_HOME=C:\Program Files\VMware\Infrastructure\jre
  • In das Verzeichnis ssolscli navigieren.
cd C:\Program Files\VMware\Infrastructure\SSOServer\ssolscli
  • ssopass Kommando ausführen
ssopass <username>
  • Das aktuelle Passwort eingeben, welches bereits abgelaufen ist.
  • Das neue Passwort eingeben und nochmals bestätigen.

vCenter Appliance

  • Login als root
  • Verzeichnis wechseln
cd /usr/lib/vmware-sso/bin
  • SSOPASS Kommando ausführen
./ssopass <username>
  • Das aktuelle Passwort eingeben, welches bereits abgelaufen ist.
  • Das neue Passwort eingeben und nochmals bestätigen.

 Gesperrtes SSO Admin-Konto freischalten

Nach drei falschen Loginversuchen wird das Adminkonto für 15 Minuten gesperrt. VMware KB2034608 erklärt, wie man das Konto wieder entsperrt. Es gibt zwei Methoden für SSO 5.1 und SSO 5.5.

Single-Signon 5.1

Man kann den Benutzer auch mit einem anderen Adminbenutzer entsperren.

  • Home > Administration > SSO Users and Groups
  • Rechtsklick auf das gesperrte Benutzerkonto > UNLOCK

Falls die Standard Sperreinstellungen verändert wurden, kann das Adminkonto auch auf anderem Weg entsperrt werden.

SSO auf Windows Host

  • Als Administrator auf Windows Server anmelden
  • Kommandozeile öffnen
cd C:\ProgramFiles\VMware\Infrastructure\SSOServer\utils.
  • Kommando ausführen
rsautil reset-admin-password
  • Passwort eingeben. Dies ist das Masterpasswort, welches bei der Installation vergeben wurde. Auch wenn das Passwort für admin@System-Domain zwischenzeitlich verändert wurde, so wird hier das ursprüngliche erwartet.
  • Name des Admins angeben, welcher entsperrt werden soll.
  • Neues Kennwort eingeben und erneut bestätigen.

vCenter Appliance

    • Login als root
    • Verzeichnis wechseln
cd /usr/lib/vmware-sso/bin
  • SSOPASS Kommando ausführen
./rsautil reset-admin-password
  • Masterpasswort eingeben (normalerweise das root Passwort)
  • Passwort eingeben und nochmals bestätigen

 

Single-Signon 5.5

SSO auf Windows Host

  • Als Administrator auf dem Windows System anmelden
  • Administrative Konsole öffnen
  • Ins vmdird Verzeichnis wechseln
cd Program Files\VMware\Infrastructure\VMware\CIS\vmdird
  • vdcadmintool ausführen
vdcadmintool.exe
  • Option 3 wählen (Reset account password)
  • Account DN eingeben
cn=Administrator,cn=users,dc=vSphere,dc=local
  • Ein neues Passwort wird generiert. Wenn dieses Passwort ein “!” enthalten sollte, muss der Vorgang wiederholt werden.
  • Mit neuem Passwort am Webclient anmelden und das Passwort erneut in Einklang mit den unerlaubten Zeichen ändern (KB2060637).

vCenter Appliance

  • Mittels SSH auf der vCenter Appliance einloggen
  • vdcadmintool ausführen
/usr/lib/vmware-vmdir/bin/vdcadmintool
  • Option 3 wählen (Reset account password)
  • Account DN angeben
cn=Administrator,cn=users,dc=vSphere,dc=local
  • Ein neues Passwort wird generiert. Wenn dieses Passwort ein “!” enthalten sollte, muss der Vorgang wiederholt werden.
  • Mit neuem Passwort am Webclient anmelden und das Passwort erneut in Einklang mit den unerlaubten Zeichen ändern (KB2060637).

Links

Eine Antwort auf „vCenter SSO Passwort Troubleshooting“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert