Ralf Bönisch hatte einen längeren Kommentar zu "Notizen zu VMware SSO" abgegeben. Ich halte seine Anmerkungen für so sinnvoll, dass ich beschlossen habe sie hier geordnet zu "dokumentieren". Quelle ist und bleibt Ralf. :)
Bei der Installation von SSO wird für admin@System-Domain ein Kennwort vergeben. Dieses Kennwort muss eine bestimmte Komplexitätsrichtlinie erfüllen. Soweit kein Problem. Problematisch ist es aber, dass dieses Kennwort nach 365 Tagen abläuft. Der Ablaufzeitraum lässt sich in der SSO Konfiguration anpassen. Ein zweiter Punkt der auf den ersten und auch zweiten Blick nicht logisch erscheint: VMware supported eine Kennwortänderung des admin@System-Domain NICHT (VMware KB2034918).
SSO ist ein integraler Bestandteil der VMware vCenter Komponentenlandschaft. So ziemelich alles pflegt Bekanntschaften ist mit VMware SSO, z.B. der vCenter Inventory Service, vCenter Server oder der vCenter Lookup Service. Fällt nun der primäre SSO Node aus, dann hat man ein größeres Problem. VMware beschreibt das Vorgehen zum Neuregistrieren der Komponentenverbindungen in KB2033620. Problematisch dabei können die bei der Installation hinterlegten, selbstsignierten Zertifikate sein. Es ist also eine gute Idee eigene Zertifikate zu nutzen, sofern man die dafür notwendige Infrastruktur und das notwendige Knowhow hat. Fehler zu finden, die aufgrund kruder und/ oder fehlerhafter Zertifkate verursacht werden, ist nicht ganz einfach. Also besser zwei Mal überlegen ob und wie man das angeht.
Auch interessant: VMware SSO pflegt per Default nur eine Verbindung zu einer Authentifizierungsquelle. In den meisten Fällen ist das ein Active Directory Domain Controller. Wird der z.B. heruntergestuft und entfernt, hat man - genau, man hat ein Problem (mal wieder...). Kein Problem: Man kann ja zwei Primary URLs angeben. Besser ist es, die primare URL gegen den DNS Domainname des Active Directory zu tauschen. Dann kontaktiert SSO einen der zur Domäne gehörenden Domain Controller (DNS sei dank).
Bei der Installation von SSO wird für admin@System-Domain ein Kennwort vergeben. Dieses Kennwort muss eine bestimmte Komplexitätsrichtlinie erfüllen. Soweit kein Problem. Problematisch ist es aber, dass dieses Kennwort nach 365 Tagen abläuft. Der Ablaufzeitraum lässt sich in der SSO Konfiguration anpassen. Ein zweiter Punkt der auf den ersten und auch zweiten Blick nicht logisch erscheint: VMware supported eine Kennwortänderung des admin@System-Domain NICHT (VMware KB2034918).
SSO ist ein integraler Bestandteil der VMware vCenter Komponentenlandschaft. So ziemelich alles pflegt Bekanntschaften ist mit VMware SSO, z.B. der vCenter Inventory Service, vCenter Server oder der vCenter Lookup Service. Fällt nun der primäre SSO Node aus, dann hat man ein größeres Problem. VMware beschreibt das Vorgehen zum Neuregistrieren der Komponentenverbindungen in KB2033620. Problematisch dabei können die bei der Installation hinterlegten, selbstsignierten Zertifikate sein. Es ist also eine gute Idee eigene Zertifikate zu nutzen, sofern man die dafür notwendige Infrastruktur und das notwendige Knowhow hat. Fehler zu finden, die aufgrund kruder und/ oder fehlerhafter Zertifkate verursacht werden, ist nicht ganz einfach. Also besser zwei Mal überlegen ob und wie man das angeht.
Auch interessant: VMware SSO pflegt per Default nur eine Verbindung zu einer Authentifizierungsquelle. In den meisten Fällen ist das ein Active Directory Domain Controller. Wird der z.B. heruntergestuft und entfernt, hat man - genau, man hat ein Problem (mal wieder...). Kein Problem: Man kann ja zwei Primary URLs angeben. Besser ist es, die primare URL gegen den DNS Domainname des Active Directory zu tauschen. Dann kontaktiert SSO einen der zur Domäne gehörenden Domain Controller (DNS sei dank).
