VMware-Forum

Guten Tag,
folgendes Problem: ESXi 5.1 a > SSO ist installiert und konfiguriert: Der Zugriff aus der eigenen Domäne ist möglich. Im SSO habe ich eine weitere Domäne angelegt... hier liefert die Testverbindung auch KEINE Fehler. Ich habe User aus dieser weiteren Domäne sowohl im SSO, als auch im vCenter als Admin berechtigt... nur die Anmeldung dieser User wird bei beiden nicht akzeptiert. Wohlgemerkt - aus der ersten Domäne läuft es problemlos und die Auflösung im SSO liefert keine Fehler für die 2. Domäne.

Hat wer eine Idee???

Wie sieht die Konfiguration der Default Domains aus?

Schon mal mit Domain-Suffix versucht bei der Anmeldung ( domainname\user ) ?

Ja das haben wir natürlich versucht, sprich die Anmeldung nach dem Schema Domain\username. Kam aber auch nur ein Fehler zurück.
Selbstverständlich sind die Domains und die Domaincontroller im SSO eingetragen. Für die erste Domäne funktioniert ja auch alles, aber nicht für die zweite.

Aber an die Zuordnung ueber die Permission im vCenter hast du dann Gedacht ja?

Falls du es mit dem Haken bei "Use Windows Session Credentials" versucht hast lass den mal bitte weg und gebe die Daten manuell ein.

Gruss
Joerg

Noch mal kurz die Konfiguration im SSO:
Unter den Identitätsquellen sind 2 Domänen definiert domäne1.xyz.de und domäne2.xyz.de. Die Domänencontroller etc. sollten richtig sein, da bei der Testverbindung kein Fehler aufgetreten ist.
Beide Domänen habe ich den Standarddomänen hinzugefügt. Müsste also theoretisch eine Anmeldung möglich sein ohne Domänenangabe... hab ich doch richtig verstanden? Weiterhin sind der SSO-Gruppe _Administrators_ User aus beiden Domänen hinzugefügt, was auch problemlos funktioniert hat.
Allerdings kann ich mich nur mit Usern aus der zuerst konfigurierten Standarddomäne (hierbei ist auch egal ob ich die Reihenfolge verändere.... Effekt ist der gleiche) anmelden. Bei den anderen kommt die Meldung: Vom Authentifizierungsserver wurde ein unerwarteter Fehler zurückgegeben: ns0:RequestFailed: Internal Error while creating SAML 2.0 Token. Der Fehler wurde möglicherweise von einer Identitätsquelle mit Fehlfunktion verursacht.

Ist das neuste Update eingespielt?

Mit der 5.1a kam ja der Bug, dass bei einer Multidomän-Konstelation sich die User nicht mehr anmelden können, sobald sie in einer gewissen Anzahl an AD-Groups sind.

Das wurde dann mit 5.1a Update1 behoben.


Gruß Mario[/img]

Guter Hinweis. AFAIK lag die Grenze für den Bug bei ca. 20 AD Gruppen. Wer über AD Gruppen z.B. Dateisysteme berechtigt, der kommt da schnell an die Grenze.