An error occurred during authentication back to login screen - Исправление ошибок и поиск оптимальных решений проблем

Posted by OldManJ 2022-08-17T17:05:33Z

I am using esxi 6.7 and login into server via web. Today I am not able to login and get and error each time. An error occurred during authentication. Back to login screen

I can ssh from putty to server. Not sure what I need to do to gain access back to my host online. Any help appreciated.

7 Replies

PCC Bob

This person is a verified professional.

Verify your account
to enable IT peers to see that you are a professional.
thai pepper

VMware Expert

check
47
Best Answers

thumb_up
209
Helpful Votes
Can you provide specific details of what the error says, and/or screen shots?

Was this post helpful?
thumb_up
thumb_down
OP
OldManJ

This person is a verified professional.

Verify your account
to enable IT peers to see that you are a professional.

thai pepper

Can you provide specific details of what the error says, and/or screen shots?

I go to the url that I connect to and get to login with admin@vsphere.local with password and then get a blue screen with the red box on top left

Was this post helpful?
thumb_up
thumb_down
Are you sure on that user name? I can only use Administrator@vsphere.local on my vCenter.

Was this post helpful?
thumb_up
thumb_down
OP
OldManJ

This person is a verified professional.

Verify your account
to enable IT peers to see that you are a professional.

thai pepper

Jim Peters wrote:

Are you sure on that user name? I can only use Administrator@vsphere.local on my vCenter.

Sorry fat finger. administrator@

Was this post helpful?
thumb_up
thumb_down
PCC Bob

This person is a verified professional.

Verify your account
to enable IT peers to see that you are a professional.
thai pepper

VMware Expert

check
47
Best Answers

thumb_up
209
Helpful Votes
I would restart the management agents on the host server to see if that resolves the issue. You can do it from the server console, if you can get logged into the interface there, Or, if you can connect to an SSH session, use the command «services.sh restart» to restart all management agents.

https://kb.vmware.com/s/article/1003490 Opens a new window

1 found this helpful
thumb_up
thumb_down
mace

VMware Expert
- check
  79
  Best Answers
- thumb_up
  570
  Helpful Votes
OldManJ wrote:

An error occurred during authentication. Back to login screen.

If you are able to authenticate through SSH, restarting the vCenter appliance usually helps to fix those kinds of problems. In some heavier cases, a password reset may be required https://www.vmwareblog.org/reset-vcenter-server-appliance-root-password/ Opens a new window.

Was this post helpful?
thumb_up
thumb_down
Hello, OldManJ, looks like sts certs are expired.

Checking Expiration of STS Certificate on vCenter Servers: https://kb.vmware.com/s/article/79248 Opens a new window

Also, a good suggestion was posted by PCC Bob, try to restart management agents. This article Opens a new window Opens a new window can be useful in your case.

If that doesn’t work and you are not sure what you changed to make this happen, then a reinstall is probably your best bet. Kind of a hassle I know, but I am sure that will fix this user/pass issue.

Another recommendation Opens a new window Opens a new window for you is to find a good VMware backup solution. This would keep your data recoverable during any unpredictable system issues.

Was this post helpful?
thumb_up
thumb_down

Источник

Недавно столкнулся с ситуацией, что перестал работать VCenter (в моём случае версия 6.5 – VCSA, но подобное может быть с любой версией не зависимо от платформы).

При попытке зайти как под доменной учёткой, так и под локальным админом – не проходила проверка подлинности – постоянно писало – сперва, что неправильные имя пользователя или пароль, а затем и вовсе, что требуется ввести имя пользователя и пароль, хотя они само собой были введены.

После попытки перезагрузить сервер или все службы командами service-control —stop —all и service-control —start —all добрая половина служб не запускалась, при этом на главной странице vcenter – выскакивала ошибка 503

При переходе по адресу vcenter/ui – появлялась ошибка

[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server. An error occurred when processing the metadata during vCenter Single Sign-on setup – null.

В моём случае проблема оказалась в протухшем STS сертификате. Далее я пишу для своего случая, именно для VCSA, если у вас vCenter на винде, то читайте KBшки, ссылки на которые указаны, там есть описания, что делать для виндовых случаев.

Чтобы посмотреть срок действия STS сертификатов нужно скачать скрипт из KB VMWare. На всякий случай скопировал его.

Скачать можно при помощи wget, ну или закинуть на сервере через WinSCP, ну или просто скопировать текст скрипта и вставить в файл на сервере.

Запускается он командой:

python checksts.py

После выполнения будут отображены действительные и просроченные STS сертификаты. Если найдется просроченный сертификат, то внизу будет подсказка на какую KB стоит посмотреть.

В этой KB имеется скрипт, на всякий случай – копия, для обновления просроченных STS сертификатов, конечно как водится, перед запуском чего-бы то ни было – рекомендуется сделать бэкапы, снапшоты и т.д и т.п. Также обратите внимание, что если у вас в одном SSO домене находится несколько vCenter серверов – то запускать скрипт нужно только на одном.

В общем качаем скрипт, делаем его исполняемым и запускаем:

chmod +x fixsts.sh
./fixsts.sh

Если всё пройдет без ошибок – можно пробовать перезапустить все службы:

service-control --stop --all
service-control --start --all

Если окажется, что есть еще какие-нибудь протухшие сертификаты, то службы всё равно могут не стартануть. Найти все просроченные сертификаты поможет команда:

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); 
do echo STORE $i; 
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | 
egrep "Alias|Not After"; done

Соответственно нужно будет такие сертификаты обновить и снова попробовать перезапустить все службы. Либо, можно пойти простым и топорным путём, и перевыпустить вообще все сертификаты:

/usr/lib/vmware-vmca/bin/certificate-manager

Тут нужно будет выбрать 8й пункт, и далее следовать инструкциям на экране. Но используйте эту команду на свой страх и риск, если используются сторонние сервисы/плагины/кастомизированные шаблоны то это дело скорее всего нужно будет перенастраивать.

После описанных выше действий у меня vCenter починился, и работает нормально. Вообще какое-то странное решение у VMWare с этим ультраважным сертификатом. Возникает вопрос – почему нельзя было сделать, что б он автоматически перевыпускался, когда походит к концу срок его действия?

Источник

null

Недавно наш заказчик пришел с проблемой потери управления виртуализированной инфраструктурой.

При попытке авторизации в консоль vSphere
An error occurred during authentication

Ошибку следует диагностировать просмотром сертификата – который истек (видно из браузера).

При попытке входа в vCenter консоль (Appliance Management) для просмотра состояния сервисов

Exception in invoking authentication handler
[SSL.CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:719)

Проблема в том, что при истекшем сертификате не попасть в консоль управления так как не может аутентифицировать, где по процедуре можно заменить сертификат из web- консоли.

Причину подтвердим просмотром трейса ошибки:

javax.net.ssl.SSLHandshakeException: com.vmware.vim.vmomi.client.exception.VlsiCertificateException: 
Server certificate chain is not trusted and thumbprint verification is not configured

Ошибки при истекшем сертификате будут вида

Что такая-то служба не может соединиться (так как не устанавливается защищенное соединение с vCenter Appliance из-за невалидного сертификата)

Authentication failed, Update Manager server could not be contacted.

An unexpected error has occurred.

В том числе не будет работать и служба Аутентификации vSphere,

а это, сами понимаете, «привет» управлению инфраструктурой и работе служб vSphere.

Что делать?

Нужно заменить истекший сертификат в vCenter Appliance. Но есть ньюансы.

При отсутствии доступа в web-консоль vCenter Appliance Management

Exception in invoking authentication handler
[SSL.CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:719)

Остается доступ через коммандную строку в виртуальную машину.

В ситуации с истекшим сертификатом работоспособность запущенных виртуальных машин не затронута, и можно зайти на узлы гипервизора ESXi и временно поуправлять вручную запуском и выключением виртуальных машин.

Собственно этот путь (через подключения к ESXi) с вызовом консоли машины с vCenter Appliance и потребуется проделать для замены истекшего сертификата, если на машине выключен SSH в целях безопасности.

Но где лежит сертификат и как его правильно заменить?

Оказывается, что для генерации сертификата vCenter Server Appliance имеет утилиту Certificate Manager.

Для начала подключитесь к vCenter через ssh или через консоль виртуальной машины с vCenter через гипервизор ESXi где она функционирует.

Если у Вас много хостов в инфраструктуре, возможно придется поискать последовательно подключаясь на каждый пока не отыщите свой запущенный vCenter.

Запустите /usr/lib/vmware-vmca/bin/certificate-manager
1. Если Вам приемлем Self-Signed Certificate и нужно быстро восстановить доступ
  1. Выбирите пункт 4 Regenerate a new VMCA Root Certificate and replace all certificates и введите пароль для administrator@vsphere.local
  2. Далее последовательно заполните поля с учетом того, что Name, Hostname и VMCA должны соответствовать Primary Network Identifier PNID .
  3. Значение PNID можно посмотреть выполнив /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid —server-name localhost
  4. ```
  Please configure certool.cfg file with proper values before proceeding to next step.
  Press Enter key to skip optional parameters or use Default value.
  Enter proper value for 'Country' [Default value : US] : (Note: Value for Country should be only 2 letters)
  Enter proper value for 'Name' [Default value : CA] :
  Enter proper value for 'Organization' [Default value : VMware] :
  Enter proper value for 'OrgUnit' [Default value : VMware Engineering] :
  Enter proper value for 'State' [Default value : California] :
  Enter proper value for 'Locality' [Default value : Palo Alto] :
  Enter proper value for 'IPAddress' [optional] :
  Enter proper value for 'Email' [Default value : email@acme.com] :
  Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :
  Enter proper value for VMCA 'Name':
```
5. Нажмите Y (Yes) для продолжения.
6. В случае неактуального сертификата в веб-консоли vCenter перезагрузите vCenter.
2. Если Вы хотите валидный сертификат полученный через центр сертификации
  1. В меню выберите пункт 1. Replace Machine SSL certificate with Custom Certificate и введите пароль для administrator@vsphere.local
  2. Укажите директорию, где будут помещены запросы на выпуск,
    например /tmp/ssl/
  3. Далее последовательно заполните поля с учетом того, что Name, Hostname и VMCA должны соответствовать Primary Network Identifier PNID .
  4. Значение PNID можно посмотреть выполнив /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid —server-name localhost
  5. ```
  Country      : Two uppercase letters only (Eg. US), the country where your company is located.
  Name         : FQDN of the vCenter Server(This will be your Certificate Subject Alternate Name)
  Organization : Company Name
  OrgUnit      : The name of your department within the organization. Example: "IT"
  State        : The state/province where your company is located
  Locality     : The city where your company is located.
  IPAddress    : IP Address of vCenter Server, this field is Optional
  Email        : Email Address
  Hostname     : FQDN of vCenter Server(This field accepts multiple entries separated by comma.
```
6. Файл /tmp/ssl/vmca_issued_csr.csr передаем в центр сертификации для выпуска SSL сертификата.
7. Помещаем выпущенный сертификат на систему, например, в /tmp/ssl/ в отдельной сессии
8. Продолжаем импорт
```
  Provide a valid custom certificate for Machine SSL.
  File : /tmp/ssl/machine_name_ssl.cer
   
  Provide a valid custom key for Machine SSL.
  File : /tmp/ssl/machine_name_ssl.key
   
  Provide the signing certificate of the Machine SSL certificate.
  File : /tmp/ssl/Root64.cer
```
9. Нажмите Y (Yes) для продолжения.
10. В случае неактуального сертификата в веб-консоли vCenter перезагрузите vCenter.

Источник

vSphere Web Client, [400] An error occurred

Hi All,

Today I am trying to access my vSphere Web client with my AD account.

I got the following error:-

int

The VMware vSphere Web Client displays the error:
A server error occurred.

[400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. Details: Status: urn:oasis:names:tc:SAML:2.0:status:Responder, sub status: null.

Check the vSphere Web Client server logs for details.

The %ALLUSERSPROFILE%VMWarevCenterServerlogsssovmware-sts-idmd.log file contains errors similar to:
[YYYY-MM-DDT<Time> vsphere.local c006bcab-1db9-43ea-bf27-ca8e6ab45251 INFO ] [VmEventAppender] EventLog: source=[VMware Identity Server], tenant=[vsphere.local], eventid=[USER_NAME_PWD_AUTH_FAILED], level=[ERROR], category=[VMEVENT_CATEGORY_IDM], text=[Failed to authenticate principal [vcenter@domain]. Access denied], detailText=[com.vmware.identity.idm.IDMLoginException: Access denied

This issue occurs when the domain in which the user you are attempting to log in does not exist as a VMware vCenter SSO identity source.

For more reference VMware KB 2111354

I resolved the issue, Added the AD authentication to my SSO service.

Thanks for reading, If you like the post share to others!!!!

This entry was posted in VMware KEDB. Bookmark the permalink.

Источник

While working on my Test Lab I recently came across this issue where Once I opened the vCenter Webclient or Vsphere Client (Flash) and try to login

I got the below Error:

vSphere Client (Flash): [400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. Details: Status: urn:oasis:names:tc:SAML:2.0:status:Responder, sub status: null.

Web Client (HTML 5) : [400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. An error occurred while processing the metadata during vCenter Single Sign-On setup – java.lang.reflect.InovocationTargetException

Below are the Screenshots of the Error:

While reviewing the Setup I noticed the below Difference in the PSC and vCenter Server.

I SSH to the PSC and Checked the Time using the below Command:

Date

PSC SSH:

vCenter SSH:

Here is My System Time:

So definitely there was a mismatch in the Time between the vCenter and the PSC.

I thought this is not right and I went into the PSC VAMI and found the Timezone as my Own i.e. IST.

However while looking into the vCenter VAMI I can see the Timezone set as GMT-10.

So I just changed the Timezone of vCenter appliance to IST

Now I am able to open the vCenter Appliance without any issues.

Источник

Recently, I took over management of some servers, and I can no longer connect to our vCenter to manage our VMs. We don’t have SSO and as far as I know, we only have one account «admin».

When I go on the web using server name, I get error as below:

A server error occurred.
[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server — An error occurred when processing the metadata during vCenter Single Sign-On setup — null.

Check the vSphere Web Client server logs for details»

When use IP of the sever, I get following error:

[400] An error occurred while sending a logout request to the vCenter Single Sign-On server — An error occurred when processing the metadata during vCenter Single Sign-On setup — null. Back to login screen

I see a 90 policy enforced, however nothing I do seems to resolve the issue.

Solutions i have tried so far and did not help:
restarting the server, reset password, I have check the logs and nothing to be found of recent. last logs were from 2019. the problem started monday 8/0602020 etc.

IMG:

Источник

Today I woke up to a call from a customer whom is not able to log-on to the vCenter Server, he was trying to log-in using the C# client and he was getting an authentication error.

When I tried to log-in using the vCenter Web Client I got this error:

[400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. Details: HTTP error code: 400, status: BadResponse, sub status: No matching request found..

Details: Status: urn:oasis:names:tc:SAML:2.0:status:Responder, sub status: null

I went to the vSphere Web Client logs and couldn’t find any more informative information, other than the same output I got up above, I tried to log-in using administrator@vsphere.local and I got the same output as well.

I restarted the vSphere Web Client service and then tried to log-in using administrator@vsphere.local and it worked, I went to the SSO domain configuration and I noticed they were using a username that was not intended to be used with services, and after a bit of investigation I found out that the username’s password has expired and he changed it *BLEH*.

So, I changed the credentials to those that are supposed to be used for services and TADA all went back to normal and users were able to log-in successfully.

I hope this was helpful.

(Abdullah)^2

47797 Total Views 2 Views Today

Источник

7 Replies

Что делать?

Но где лежит сертификат и как его правильно заменить?

Запустите /usr/lib/vmware-vmca/bin/certificate-manager

Если Вам приемлем Self-Signed Certificate и нужно быстро восстановить доступ

Если Вы хотите валидный сертификат полученный через центр сертификации