Проблема VMware vSphere 5.5 Single Sign On с вложенными группами Active Directory

Не успела выйти VMware vSphere 5.5, как проблемы снова с нами 🙂

Набивший ранее оскомину VMware SSO v1, переписанный с нуля компанией VMware, по прежнему клюет мозг. Согласно информации из официального блога, SSO v2 не «видит» группы, которые вложены в локальные группы vCenter Server.

Пока решение очень простое — добавлять такие группы руками и ждать обновления.

55 комментариев к “Проблема VMware vSphere 5.5 Single Sign On с вложенными группами Active Directory”

  1. Ну детский же баг … как можно было не проверить такой банальный момент….
    Я думал они переписали и вылизали свой ССО до блеска

  2. A.Vakhitov

    У меня нет ответа 🙂
    Кроме того, подозреваю, что остался еще и баг с привязкой групп в vCenter: привязка группы к роли осуществляется по имени, а не по SID группы.
    Но проверять боюсь 🙂
    Мне хватило суток развлечений при обновлении vCenter 4.1->5.1

  3. А я сейчас промучался с обновлением 5.1 до 5.5.. Обновление SSO вечно падало с разными ошибками.. много чего перекурил из манов, переделал… убил не мало времени, но завелось.. обновил потом WebClient, Inventory, дошло до самого vCenter сервера..и тут сюрприз! MSI-битый, сверил md5 ISO-образа с тем, что на сайте — ну, да, конечно, не совпадает 🙂 Времени сегодня скачивать уже нет, пришлось все откатывать назад 🙂

    Вывод — чекайте чек-суммы сразу! 🙂

  4. To NoOne: у меня SSO вылетает с ошибкой 1603 (это msi -ная ошибка).
    Не нашел ни одного нормального солюшена.
    Не подскажете — где копать?

  5. To philzy: да-да, была такая. Много чего накрутил, но в итоге помогло что-ьл из нижеследующего (может одно, а может всё вместе):
    1. Переименовал папку Program Files\VMware\CIS, создал новую пустую.
    2. Потом попробовал установить, он что-то создал там в папке, но с той же ошибкой отвалился.
    3. С диска с дистрибутивом (под рукой его нет, поэтому по памяти пишу) из папки SSO, где-то там в redist лежал python, установил его вручную.
    4. При начале установки он писал что-то про FQDN/ip и там был прописан IP-адрес. В реестре в HLKM\VMware\(SSO чего-то там)\ был параметр FQDNip, вот в него прописал FQDN вместо как раз IP.

    После этого установка пошла на ура.. до описанной проблемы в моем верхнем посту:)

  6. Вот по этому я не парюсь и с 4u1 использую vCenter Server Appliance.
    Пока хватает встроенной БД, но в любой момент можно поднять Oracle DB =)

  7. Самое главное — никаких траблов с обновлением. Пара кликов, взаимный копипаст ключей обновления — и бац, у меня новый vCenter 5.5 бесшовно заменил старый…

  8. Не понос, так зототуха…
    Теперь SSO ругается, что — Vmware directory service couldn’t be installed

    Т.е. ему не хватает прав на удаление ADAM, который не используется более.
    http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2006850

    У меня такое ощущение, что апгрейд на 5.5 это квест, который придумали криворукие программисты.
    Нет, но не может быть столько проблем при установке.

  9. To Mr.Aloof:
    Мысыль хорошая!
    А как с 5.1 под Windows мигрировать на VCSA?
    А как быть с Vmware View Horizon 5.2?
    Вручную понятно.

  10. To NoOne: Спасибо!!!

    После применения пункта 2. — установился SSO, но только под локальным админом. Доменный админ — вываливалось в разных местах с криком о нехватке прав.
    править надо в реестре вот тут — HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Infrastructure\SSOServer ключ FqdnIp прописывать FQDN. Оно через него ходит за сертификатами.
    python я поставил п.3, точнее он молча что-то сделал и затих (думаю, что это не повлияло).

    Блин, из какого же говна и веток собран этот релиз!!!
    Лучи тестирования команде Vmware!!!

  11. Парни, я 2 раза делел миграци. 4.0 —> 4.1 и 4.1 —> 5.1
    Все с полпинка, без сучка и задоринки …. но я вам верю и на 5.5 пока не полезу 🙂
    А вмваря да …. портится 🙁

  12. To it2350:
    По-моему, любая фича, обычно имеет смысл.
    А тут, скорее всего, новое SSO имеет разные типы запросов к локальной системе авторизации и к LDAP и смешивать их не может.

  13. A.Vakhitov

    2Sasha: вы, скорее всего, делали миграцию не на первый релиз продукта 🙂
    К примеру при обновлении до первого релиза 5.1 у кучи народа были похожие проблемы и с MSI, и со старыми сертификатами vCenter, и с сертификатами для хостов в базе vCenter. В следующем релизе 5.1a это было исправлено.
    Ну и 4.1 был более «готовый» к внедрению, что ли. И менее отличающийся. Что в 5.1, что в 5.5 VMware пытается изобрести велосипед.
    Я, если честно, так и не понял, чем был плох Linked Mode и работа через Active Directory. Неужели только заморочкой с требованием иметь единый лес?

  14. to Philzy: Для Vmware View Horizon 5.2 пока все-еще нужен win-server. Но работы ведутся 😉
    Миграция с MS SQL на OracleDB или вcтроенную PostgreSQL возможна выгрузкой в SQL — схемы практически одинаковы.
    Разница только в таблицах:
    • VPX_SCHEMA_HASH — не переносить
    • VPX_SEQUENCE — не переносить
    • VPX_EVENT — можно конвертнуть, если нужно
    • VPX_EVENT_ARG — можно конвертнуть, если нужно

    Но официального мануала нет, все на свой страх и риск. Если не более 20 хостов — скорее всего будет руками проще. Хотя если понимать SQL то за день вполне реально разобраться/потестить и на следующий день мигрировать.

  15. to Андрей: Конечно без него. А нафиг он? Я его даже когда на vCenter на винде не использовал — какой то он затейливый слишком =)
    Простейший скрипт в цикле ночью обходящий хосты с командами esxcli и отчетом в файл успешно решает эту проблему.

  16. A.Vakhitov

    Например, я кластер из десятка хостов обновляю через эту штуку за один проход по визарду.
    Делись скриптом 🙂

  17. Если кому интересно, нормально обновил сегодня до 5.5 vCenter (SSO, WebClient, Inventory, сам vCenter), + VUM 5.5 + один из хостов до 5.5, сейчас виртуалки обратно ползут на него 🙂

    Вроде большо косяков кроме описанных выше не наблюдал.

  18. vCenter Server upgrade to 5.5 may fail
    When upgrading from vSphere 5.1 to 5.5, the vCenter Single Sign-On upgrade may fail. This issue affects some vCenter Server 5.1 systems running with default certificates that are upgrading to vCenter Server 5.5 under certain specific conditions. To resolve this issue, before upgrading, review
    KB 2060511

  19. У меня обновление прошло как по маслу, но оказалось, что SSO 5.5 не работает с single-label domain name (не спрашивайте откуда и почему так сделно) — имеющийся домен удалился, а новый не добавляется с сообщением, что в имени должна быть точка.

  20. Кстати, в 5.5 для VCSA расширено ограничение на встроенную базу — теперь он составляет 100 хостов и 3000 виртуалок =)
    Так же снято ограничение памяти на ESXi free.

  21. Кстати, в 5.5 для VCSA расширено ограничение на встроенную базу – теперь он составляет 100 хостов и 3000 виртуалок =)
    Так же снято ограничение памяти на ESXi free.

    интригуете )
    и как сабж себя зарекомендовал? как у него с апдейтами? выходят паралельно с виндовой версией?

  22. Да, выходят примерно параллельно, накатываться умеют сами (но мне спокойней самому кнопку install жать 😉 )
    Зарекомендовал за 4 года хорошо, без капризов =)
    Для небольшой инфраструктуры вполне пригоден.

  23. Нет, ну, если так говорить, то в работе виндового vCenter-а особых проблем тоже нет. С обновлениями иногда можно повозиться, но они не раз в месяц выходят 🙂

  24. Согласен =)
    Просто смотрю со стороны как люди мучаются с SSO и траблами при обновлении виндовой версии. Вот и решил напомнить что есть VCSA и в нем я не сталкивался с проблемами в апдейтах…

  25. Так же снято ограничение памяти на ESXi free.
    Но толстый клиент в 5.5 не умеет управлять 10-й версие VM, так что большинство фичей останутся недоступны.

  26. Когда жмешь кнопку «Upgrade Virtual Hardware»:

    This operation will cause the virtual hardware that your guest operating system runs on to change. It is an irreversible operation that will make your virtual machine incompatible with earlier versions of VMware software products. It is strongly recommended that you make a backup copy of your disks before proceeding.

    1 virtual machine(s) will be upgraded to version 10 or higher. If you upgrade the virtual hardware to this level, use the vSphere Web Client for managing these VMs.

    Are you sure you want to upgrade your configuration?

    Пока еще ни на одной не попробовал, чтобы узнать, что они под этим понимают.

  27. Дык даже сам клиент честно сообщает что все новые функции доступны только чз веб-интерфейс 😉
    Далее, если попробовать зайти в свойства vmx-10, то клиент вас посылает в web.

  28. Далее, если попробовать зайти в свойства vmx-10, то клиент вас посылает в web.
    блеать …. и как теперь рулить ВМ если юзается фри версия без вЦентра ??

  29. Эта дилемма пока не имеет решения =(
    VMware лажанулись с этим — щас наверное думают что с этим делать.
    Ждем официальных комментариев.

  30. Думаю, комментарии будут вида: «ОЛОЛО у нищебродов батхрёт!!!1»
    Кстати, толстый клиент хотя бы не даёт обновить ВМ до версии 10? 🙂

  31. Кстати, толстый клиент хотя бы не даёт обновить ВМ до версии 10? 🙂

    Тогда будет невозможно обновить машину с самим vCenter 😉

  32. Интересно что можно? :-))))
    Ладно бы дали ссылку как руками в текстовом редакторе править конфиг виртуалки для использования фишек vmx-10.

  33. Так когда 5.5 станет доступен к установке???
    You do not have permission to login to the server.
    Наблюдаю этот бред больше месяца. Решения кроме создать AD так и не сделано. У меня STANDALONE сервер.

  34. В смысле без AD на Vsphere больше не зайти. У администратора сервера нет прав на SOO. Во всех рекомендациях только добавление доменных групп.

  35. Без AD к сожалению SOO теперь не позволяет входить локальному администратору на сервер локальной группы.

  36. Хозяйке на заметку:

    Кстати, можно использовать и встроенные в хосте учетные записи и создать свой домен и своих пользователей, там механизм неплохой придуман.
    Но, реализован сыровато.

    Если не указать DNS-сервера для VCSA, то половина настроек не будет работать (просто не покажутся в интерфейсе).
    А регенерация сертификатов работает один раз, потом нужно подключать «педальный привод» — класть файлик. http://www.virtuallyghetto.com/2013/04/automating-ssl-certificate-regeneration.html
    И учтите, что в файлик должен называться через нижнее подчеркивание, а не дефис. Это такие милы, детские грабли.
    Я был уверен, что мне хватит файла hosts и регенерация работает постоянно.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *