An error occurred during authentication vcenter - Исправление ошибок и поиск оптимальных решений проблем

Недавно столкнулся с ситуацией, что перестал работать VCenter (в моём случае версия 6.5 – VCSA, но подобное может быть с любой версией не зависимо от платформы).

При попытке зайти как под доменной учёткой, так и под локальным админом – не проходила проверка подлинности – постоянно писало – сперва, что неправильные имя пользователя или пароль, а затем и вовсе, что требуется ввести имя пользователя и пароль, хотя они само собой были введены.

После попытки перезагрузить сервер или все службы командами service-control —stop —all и service-control —start —all добрая половина служб не запускалась, при этом на главной странице vcenter – выскакивала ошибка 503

При переходе по адресу vcenter/ui – появлялась ошибка

[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server. An error occurred when processing the metadata during vCenter Single Sign-on setup – null.

В моём случае проблема оказалась в протухшем STS сертификате. Далее я пишу для своего случая, именно для VCSA, если у вас vCenter на винде, то читайте KBшки, ссылки на которые указаны, там есть описания, что делать для виндовых случаев.

Чтобы посмотреть срок действия STS сертификатов нужно скачать скрипт из KB VMWare. На всякий случай скопировал его.

Скачать можно при помощи wget, ну или закинуть на сервере через WinSCP, ну или просто скопировать текст скрипта и вставить в файл на сервере.

Запускается он командой:

python checksts.py

После выполнения будут отображены действительные и просроченные STS сертификаты. Если найдется просроченный сертификат, то внизу будет подсказка на какую KB стоит посмотреть.

В этой KB имеется скрипт, на всякий случай – копия, для обновления просроченных STS сертификатов, конечно как водится, перед запуском чего-бы то ни было – рекомендуется сделать бэкапы, снапшоты и т.д и т.п. Также обратите внимание, что если у вас в одном SSO домене находится несколько vCenter серверов – то запускать скрипт нужно только на одном.

В общем качаем скрипт, делаем его исполняемым и запускаем:

chmod +x fixsts.sh
./fixsts.sh

Если всё пройдет без ошибок – можно пробовать перезапустить все службы:

service-control --stop --all
service-control --start --all

Если окажется, что есть еще какие-нибудь протухшие сертификаты, то службы всё равно могут не стартануть. Найти все просроченные сертификаты поможет команда:

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); 
do echo STORE $i; 
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | 
egrep "Alias|Not After"; done

Соответственно нужно будет такие сертификаты обновить и снова попробовать перезапустить все службы. Либо, можно пойти простым и топорным путём, и перевыпустить вообще все сертификаты:

/usr/lib/vmware-vmca/bin/certificate-manager

Тут нужно будет выбрать 8й пункт, и далее следовать инструкциям на экране. Но используйте эту команду на свой страх и риск, если используются сторонние сервисы/плагины/кастомизированные шаблоны то это дело скорее всего нужно будет перенастраивать.

После описанных выше действий у меня vCenter починился, и работает нормально. Вообще какое-то странное решение у VMWare с этим ультраважным сертификатом. Возникает вопрос – почему нельзя было сделать, что б он автоматически перевыпускался, когда походит к концу срок его действия?

Источник

null

Недавно наш заказчик пришел с проблемой потери управления виртуализированной инфраструктурой.

При попытке авторизации в консоль vSphere
An error occurred during authentication

Ошибку следует диагностировать просмотром сертификата – который истек (видно из браузера).

При попытке входа в vCenter консоль (Appliance Management) для просмотра состояния сервисов

Exception in invoking authentication handler
[SSL.CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:719)

Проблема в том, что при истекшем сертификате не попасть в консоль управления так как не может аутентифицировать, где по процедуре можно заменить сертификат из web- консоли.

Причину подтвердим просмотром трейса ошибки:

javax.net.ssl.SSLHandshakeException: com.vmware.vim.vmomi.client.exception.VlsiCertificateException: 
Server certificate chain is not trusted and thumbprint verification is not configured

Ошибки при истекшем сертификате будут вида

Что такая-то служба не может соединиться (так как не устанавливается защищенное соединение с vCenter Appliance из-за невалидного сертификата)

Authentication failed, Update Manager server could not be contacted.

An unexpected error has occurred.

В том числе не будет работать и служба Аутентификации vSphere,

а это, сами понимаете, «привет» управлению инфраструктурой и работе служб vSphere.

Что делать?

Нужно заменить истекший сертификат в vCenter Appliance. Но есть ньюансы.

При отсутствии доступа в web-консоль vCenter Appliance Management

Exception in invoking authentication handler
[SSL.CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:719)

Остается доступ через коммандную строку в виртуальную машину.

В ситуации с истекшим сертификатом работоспособность запущенных виртуальных машин не затронута, и можно зайти на узлы гипервизора ESXi и временно поуправлять вручную запуском и выключением виртуальных машин.

Собственно этот путь (через подключения к ESXi) с вызовом консоли машины с vCenter Appliance и потребуется проделать для замены истекшего сертификата, если на машине выключен SSH в целях безопасности.

Но где лежит сертификат и как его правильно заменить?

Оказывается, что для генерации сертификата vCenter Server Appliance имеет утилиту Certificate Manager.

Для начала подключитесь к vCenter через ssh или через консоль виртуальной машины с vCenter через гипервизор ESXi где она функционирует.

Если у Вас много хостов в инфраструктуре, возможно придется поискать последовательно подключаясь на каждый пока не отыщите свой запущенный vCenter.

Запустите /usr/lib/vmware-vmca/bin/certificate-manager
1. Если Вам приемлем Self-Signed Certificate и нужно быстро восстановить доступ
  1. Выбирите пункт 4 Regenerate a new VMCA Root Certificate and replace all certificates и введите пароль для administrator@vsphere.local
  2. Далее последовательно заполните поля с учетом того, что Name, Hostname и VMCA должны соответствовать Primary Network Identifier PNID .
  3. Значение PNID можно посмотреть выполнив /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid —server-name localhost
  4. ```
  Please configure certool.cfg file with proper values before proceeding to next step.
  Press Enter key to skip optional parameters or use Default value.
  Enter proper value for 'Country' [Default value : US] : (Note: Value for Country should be only 2 letters)
  Enter proper value for 'Name' [Default value : CA] :
  Enter proper value for 'Organization' [Default value : VMware] :
  Enter proper value for 'OrgUnit' [Default value : VMware Engineering] :
  Enter proper value for 'State' [Default value : California] :
  Enter proper value for 'Locality' [Default value : Palo Alto] :
  Enter proper value for 'IPAddress' [optional] :
  Enter proper value for 'Email' [Default value : email@acme.com] :
  Enter proper value for 'Hostname' [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] :
  Enter proper value for VMCA 'Name':
```
5. Нажмите Y (Yes) для продолжения.
6. В случае неактуального сертификата в веб-консоли vCenter перезагрузите vCenter.
2. Если Вы хотите валидный сертификат полученный через центр сертификации
  1. В меню выберите пункт 1. Replace Machine SSL certificate with Custom Certificate и введите пароль для administrator@vsphere.local
  2. Укажите директорию, где будут помещены запросы на выпуск,
    например /tmp/ssl/
  3. Далее последовательно заполните поля с учетом того, что Name, Hostname и VMCA должны соответствовать Primary Network Identifier PNID .
  4. Значение PNID можно посмотреть выполнив /usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid —server-name localhost
  5. ```
  Country      : Two uppercase letters only (Eg. US), the country where your company is located.
  Name         : FQDN of the vCenter Server(This will be your Certificate Subject Alternate Name)
  Organization : Company Name
  OrgUnit      : The name of your department within the organization. Example: "IT"
  State        : The state/province where your company is located
  Locality     : The city where your company is located.
  IPAddress    : IP Address of vCenter Server, this field is Optional
  Email        : Email Address
  Hostname     : FQDN of vCenter Server(This field accepts multiple entries separated by comma.
```
6. Файл /tmp/ssl/vmca_issued_csr.csr передаем в центр сертификации для выпуска SSL сертификата.
7. Помещаем выпущенный сертификат на систему, например, в /tmp/ssl/ в отдельной сессии
8. Продолжаем импорт
```
  Provide a valid custom certificate for Machine SSL.
  File : /tmp/ssl/machine_name_ssl.cer
   
  Provide a valid custom key for Machine SSL.
  File : /tmp/ssl/machine_name_ssl.key
   
  Provide the signing certificate of the Machine SSL certificate.
  File : /tmp/ssl/Root64.cer
```
9. Нажмите Y (Yes) для продолжения.
10. В случае неактуального сертификата в веб-консоли vCenter перезагрузите vCenter.

Источник

check
Best Answer

pure capsaicin

VMware Expert

check
360
Best Answers
thumb_up
999
Helpful Votes

But your screenshot shows you using only the NetBIOS name and this is why it is not working.

The error is also advising you what to do

«Verify that the server URL is correct and is in FQDN format»

Was this post helpful?
thumb_up
thumb_down

View Best Answer in replies below

10 Replies

pure capsaicin

VMware Expert
- check
  360
  Best Answers
- thumb_up
  999
  Helpful Votes
I never understand why people do this in workstation, but your DNS FQDN needs to be correct and you need to be able to resolve the DNS name of the VCSA server.

https://servername.domain.com Opens a new window not simply https://servername/ Opens a new window this doesn’t work with SSO

Both your forward and reverse DNS must exist for this VCSA and your VCSA must be able to see it in DNS using the DNS servers you configured.

It is by design this does not work with only the NetBIOS name.

Was this post helpful?
thumb_up
thumb_down
both forward and reverse lookups are resolving fine for the vCenter FQDN..

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  360
  Best Answers
- thumb_up
  999
  Helpful Votes
But your screenshot shows you using only the NetBIOS name and this is why it is not working.

The error is also advising you what to do

«Verify that the server URL is correct and is in FQDN format»

Was this post helpful?
thumb_up
thumb_down
The screenshot happened to have been taken after the webclient.properties file was changed to see if it accepts w-vcsa-sddc.

Whether I use https://servername.domain.com Opens a new window or https://servername/ Opens a new window the result is the same as in the screenshot.

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  360
  Best Answers
- thumb_up
  999
  Helpful Votes
I can’t say I’ve ever named a VCSA with hyphens, your issue could be related to this if it works with an IP.

Since this is clearly a lab, you could try again without hyphens

Was this post helpful?
thumb_up
thumb_down
Thanks I’ll try it out and update accordingly..

Was this post helpful?
thumb_up
thumb_down
So I got this working, by using FQDN in initial VMware Workstation setup window instead of using IP unlike vCenter 6.7 which works fine even if IP address is used.

Thanks..

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  360
  Best Answers
- thumb_up
  999
  Helpful Votes
So you did as both myself and the error suggested, yet you get the credit?

Was this post helpful?
thumb_up
thumb_down
My apologies I got excessively happy of the problem being resolved while forgetting the help provided..

Thanks again Rod-IT 😀

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  360
  Best Answers
- thumb_up
  999
  Helpful Votes
FYI, I was not interested so much in the points or the BA, just noting it as people will only help if they get credit for doing so.

Glad to see it’s sorted though

1 found this helpful
thumb_up
thumb_down

Источник

vSphere Web Client, [400] An error occurred

Hi All,

Today I am trying to access my vSphere Web client with my AD account.

I got the following error:-

int

The VMware vSphere Web Client displays the error:
A server error occurred.

[400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. Details: Status: urn:oasis:names:tc:SAML:2.0:status:Responder, sub status: null.

Check the vSphere Web Client server logs for details.

The %ALLUSERSPROFILE%VMWarevCenterServerlogsssovmware-sts-idmd.log file contains errors similar to:
[YYYY-MM-DDT<Time> vsphere.local c006bcab-1db9-43ea-bf27-ca8e6ab45251 INFO ] [VmEventAppender] EventLog: source=[VMware Identity Server], tenant=[vsphere.local], eventid=[USER_NAME_PWD_AUTH_FAILED], level=[ERROR], category=[VMEVENT_CATEGORY_IDM], text=[Failed to authenticate principal [vcenter@domain]. Access denied], detailText=[com.vmware.identity.idm.IDMLoginException: Access denied

This issue occurs when the domain in which the user you are attempting to log in does not exist as a VMware vCenter SSO identity source.

For more reference VMware KB 2111354

I resolved the issue, Added the AD authentication to my SSO service.

Thanks for reading, If you like the post share to others!!!!

This entry was posted in VMware KEDB. Bookmark the permalink.

Источник

I have got an issue after I have restarted my vCenter VM in my ESXi Host. The error says:
[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server — An error occurred when processing the metadata during vCenter Single Sign-On setup — Failed to connect to VMware Lookup Service — https://10.20.30.50:443/lookupservice/sdk

I tried to find something googling but unfortunately, I couldn’t find anything…
Could someone please help me? I can’t believe, that just a restart can provide this kind of issues…

asked Sep 8, 2021 at 4:26

https://kb.vmware.com/s/article/71387

This is an expected behavior.
VMware vSphere 7.0 enforce FQDN or IP address reverse resolvable to FQDN to allow authentication for Single-Sign on.

answered Apr 8, 2022 at 23:36

roninronin

111 bronze badge

There is a problem with the vCenter’s service discovery and the vSphere Client basically cannot find its authentication service.

Try to restart VMware Lookup Service from the vCenter Server Management UI (the one on port 5480), subsection Services. If the problem persists, check the lookup service logs. If running the vCenter appliance and not Windows, they should be somewhere under /var/log/vmware…

Have you changed fundamental configuration of vCenter before restart e.g. changing the vCenter host name or root certificates?

Did you contact VMware support?

answered Sep 25, 2021 at 17:51

Источник

While working on my Test Lab I recently came across this issue where Once I opened the vCenter Webclient or Vsphere Client (Flash) and try to login

I got the below Error:

vSphere Client (Flash): [400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. Details: Status: urn:oasis:names:tc:SAML:2.0:status:Responder, sub status: null.

Web Client (HTML 5) : [400] An error occurred while processing the authentication response from the vCenter Single Sign-On server. An error occurred while processing the metadata during vCenter Single Sign-On setup – java.lang.reflect.InovocationTargetException

Below are the Screenshots of the Error: