Nach einem vSphere 5.1 Upgrade hatte ich extreme Probleme mit VMware SSO. Aufgefallen ist es beim Versuch, den vCenter Update Manager zu aktualisieren. Die eingegebenen Anmeldedaten während der Installation wurden immer wieder abgelehnt. Der Benutzer konnte ich aber am vCenter anmelden. Interessanterweise funktionierte die Anmeldung nur dann, wenn ich die Checkbox "Use Windows session credentials" verwendet habe. Wenn ich die Benutzerdaten direkt eingegeben habe, wurde die Anmeldung abgelehnt. In der Datei imsTrace.log fand ich die folgende Fehlermeldung:
Es war relativ schnell klar, dass es irgendetwas mit dem Benutzer zu tun haben muss. Das Verhalten ließ sich mit keinem anderen Benutzer reproduzieren. Verwirrend war auch die Tatsache, dass es mit dem Session Credentials funktionierte. Normalerweise ist es genau das, was nach einem Update gerne den Dienst verweigert. Im Endeffekt hat der Kunde das Problem am Ende selbst gelöst. Er hat sich daran erinnert, dass es für den Benutzer eine Anmeldebeschränkung (user account restriction) gab, die besagte, dass der Benutzer sich nur an einer bestimmten Maschine anmelden darf. Diese Maschine war zwar der vCenter Server, aber offenbar kam VMware SSO mit dieser Einschränkung nicht ganz klar. Nach dem Entfernen der Beschränkung waren die Fehler verschwunden.
trace.com.rsa.riat.sts.impl.SecurityTokenServiceImpl, ERROR, host.domain.com,,,, Error while trying to generate RequestSecurityTokenResponse