Tag Archives: Sso

Erneute Probleme mit SSO in vCenter 5.1 U1a

Auch mit vCenter 5.1 U1a kann es erneut zu Probleme mit der SSO-Komponente kommen. Diese scheinen im Gegensatz zu den vorherigen Versionen anders gelagert zu sein. Bei Tests ergab ich ein Problem mit Benutzern, die in einer Active Directory Group sind, die wiederum zu den lokalen Administratoren hinzugefügt wurde. Wurde nun bei der Installation des vCenter’s die lokale Administratorengruppe mit der Rolle “Administrator” auf das Inventory-Root (vCenter Objekt) berechtigt, kann dies dazu führen, dass der Benutzer der AD-Gruppe die Meldung bekommt, der er keine Rechte auf die nötigen Objekte hat. Der Web Client ermöglicht zwar einen Login, jedoch sind keine vSphere Ressourcen aufgrund ebenfalls fehlender Rechte sichtbar. Einigen Nutzern der AD-Gruppe kann ein Login trotzdem möglich sein, wenn diese schon über eine andere AD-Gruppe zu den lokalen Administratoren hinzugefügt wurden. Es gibt zwei Möglichkeiten um dieses Problem zu umgehen, da es bisher noch keinen Patch seitens VMware gibt:
  1. Es wird eine zweite lokale Gruppe hinzugefügt und die AD-Gruppe dort als Mitglied aufgenommen. Achtung: Die zweite lokale Gruppe muss danach noch gesondert auf das Inventory berechtigt werden.
  2. Es wird eine SSO-Gruppe angelegt und die AD-Gruppe als Mitglied aufgenommen. Achtung: Die SSO-Gruppe muss danach noch gesondert auf das Inventory berechtigt werden.
Beide Workarounds setzen voraus, dass noch Zugriff aus das vCenter Inventory besteht. Alternativ sollte man bei der Installation stattdessen einen Service-AD-Account berechtigen oder direkt eine AD-Gruppe. Beide Methoden umgehen ebenfalls das Problem. Die Problem werden ebenfalls von Magnus Andersson hier beschrieben: http://vcdx56.com/2013/06/24/vcenter-server-and-vcenter-single-sign-on-authentication-problem/

Login Passthrough vSphere Web Client 5.1

Durch die Anbindung des vCenter’s an das firmeninterne Active Directory bietet der vSphere Client sowie der vSphere Web Client die Möglichkeit durch setzen der Checkbox “Windows-Sitzungsanmeldedaten verwenden” ein Passthrough der Windows-Anmeldung zur SSO-Komponente zu nutzen. Mit der Version 5.1 bzw. 5.1 U1(a) kann es nun passieren, dass diese Variante der Anmeldung im Web Client nicht mehr funktioniert. Ursache dafür können unzureichende Rechte für das Starten des RSA SSPI-Service  durch den Network Service sein. Um dies zu prüfen, reicht es festzustellen ob im Task-Manager unter Prozesse der Eintrag “sspiservice.exe” aufgeführt wird. Ist dies nicht der Fall, lässt sich das Problem wie folgt behandeln:
  1. im Windows Explorer in das folgende Verzeichnis wechseln:
  2. in das Eigenschaftsmenü des Ordners “windows-x86_64” wechseln
  3. die Rechte des Ordners für den “Netzwerkdienst” bzw. “Network Service” auf “Lesen und Ausführen” bzw. “Read and Execute” setzen, nur lesend ist nicht ausreichend (ggf. muss der Dienst explizit hinzugefügt werden)
  4. der SSPI-Service muss danach neuinstalliert werden mit folgendem Kommando: der Port kann aus folgenden Datei entnommen werden:
Der SSPI-Service sollte danach automatisch gestartet werden und der Login mittels Passthrough funktionieren.