Menu

vCenter 6.7.0: Не работает плагин “Enhanced authentication plugin” для сквозной авторизации в домене.

2019-06-27 - vCenter-6.7.0

Описание проблемы.

При подключении к vCenter 6.7.0.31000 через браузер недоступна галочка “Использовать проверку подлинности сеанса Windows” или “Use Windows session authentication”. Чек-бокс для галочки серый. Причём не важно каким web-клиентом подключаешься. Ни в HTML5-клиенте, ни в FLEX-клиенте галка не доступна.

Во-первых нужно проверить что сквозная авторизация (SSO) у вас настроена и работает. Для этого нужно в поле логин и пароль ввести учётные данные пользователя для которого разрешили вход в vCenter. На галочку пока не обращаем внимания. Если вы успешно авторизовались, значит авторизация точно работает.

Во-вторых, нужно проверить установлен ли у вас “Enhanced authentication plugin“. Он доступен для скачивания на этой же странице входа внизу-слева. После установки этого плагина, в Internet Explorer 11 галка стала доступна и авторизация заработала. А вот в Firefox-67.0.4 и Chrome-58.0.3029.110 проблема осталась.

Установщик этого плагина VMware-EnhancedAuthenticationPlugin-6.7.0.exe содержит в себе два приложения.

VMware-ClientIntegrationPlugin.win32.exe
VMware-ClientIntegrationService.win32.exe

В процессе установки в систему будет добавлена служба “VMware Cip Message Proxy Service” и добавлены следующие строчки в файл “C:\Windows\System32\drivers\etc\host”

127.0.0.1 vmware-localhost
::1 vmware-localhost
127.0.0.1 vmware-plugin
::1 vmware-plugin

Как я потом понял, проблема кроется в само-подписанном сертификате который используется в службе плагина. Об этом мне подсказали на форуме VMware где и дали пару ссылок по моей проблеме. Одна из них помогла. Ниже просто мой вольный и немного изменённый перевод этих страниц. На мой взгляд, так будет понятнее. Оригинал всегда можете изучить сами.

Решение №1

Мне помогло именно это решение. Оригинал здесь: link

Важно!

Для нормальной работы обязательно должен быть установлен плагин “Enhanced authentication plugin“.

Нужно просто установить сертификат в контейнер доверенных сертификатов пользователя. Я его ещё и в контейнер доверенных центров сертификации добавил. Получить этот сертификат можно, открыв веб-страницу на проблемном компьютере https://vmware-plugin:8094 через Internet Explorer. По сути это альяс на localhost о чём я писал выше. Откроется пустая страница. Щёлкаем на жёлтый замочек и в открывшемся окне нажимаем View certificates / Просмотр сертификатов

Дальше как обычно Install Certificate… / Установить сертификат…

И устанавливаем его в папку “Personal / Личные” а потом в папку “Trusted Root Certification Authorities / Доверенные корневые центры сертификации”

После этого можно пробовать авторизоваться в ваш vCenter “по галке” из других браузеров.

Если вы пользуетесь Mozilla Firefox, и после всех действий галка всё равно не активна, тогда попробуйте открыть https://vmware-plugin:8094 через Firefox, скорее всего он так же ругается на сертификат vmware-plugin и не хочет открывать эту страницу. Поэтому просто соглашаемся с предупреждением безопасности и подтверждаем что хотим продолжить перейти на нашу страницу. Страница должна открыться пускай даже совершенно пустая. После этого можно пробовать авторизоваться в ваш vCenter “по галке”.

Решение №2

Его не проверял но решил добавить. Оригинал здесь: link

Первое, что я заметил, было то, что, когда я пытался загрузить страницу входа, служба “VMware Cip Message Proxy Service” остановилась. Кроме того, в журнале событий приложений была зарегистрирована ошибка, в которой говорилось, что произошла ошибка приложения “vmware-cip-msg-proxy.exe“. В журнале системных событий было зарегистрировано соответствующее событие – “Служба VMware Cip Message Proxy Service неожиданно прервана”.

Дальнейшие поиски в Google, и отслеживание procmon и анализ файла журнала показали, что “VMware Cip Message Proxy Service“, по-видимому, был лишен доступа к папке «%localappdata%\VMware\CIP» которая лежит в моем профиле (я думаю, что он пытается создать блокировку сеанса или файл журнала, но не знаю, для чего конечно).

По умолчанию установщик плагина настраивает запуск службы “VMware Cip Message Proxy Service” от учётной записи Local Service:

Однако, эта учётка не имеет прав на запись в каталог профиля любого пользователя. Я поменял запуск на запуск от имени Local System account:

После перезапуска службы и обновления страницы входа в систему заветная галка “Использовать проверку подлинности сеанса Windows” или “Use Windows session authentication” стала активна, и я смог авторизоваться.