VMware vSphere 5.5: любые попытки аутентификации терпят неудачу

Что произошло

Не уверен, что произошло, но, возможно, все описание кому-то поможет.

Внутренний каталог LDAP vSphere, обычно работающий на порте 11711, оказался с поврежденными записями. В результате получилось странное наблюдение - можно было пройти аутентификацию, например, webclient, но не мог больше там делать, так как он наводнялся сообщениями типа «Клиент не аутентифицирован для службы VMware Inventory Service - https: // myserverFQDN: 10443"

Решение

Используя клиент LDAP (например, LDAPAdmin), войдите на сервер, используя следующие критерии подключения:

host:          localhost
port:          11711
version:       3
Base:          dc=vsphere,dc=local
Username:      cn=Administrator,cn=Users,dc=vsphere,dc=local
Password:      the one for administrator@vsphere.local

Перейдите к cn=ServicePrincipals и проверьте их vmwSTSSubjectDN чтобы убедиться, что они уникальны. Не уверен, какие из них правильные. В другой установке я обнаружил:

InventoryService                1.2.840.113549.1.9.1=#1612737570706f727440766d776172652e636f6d,CN=VMware default certificate,OU=InventoryService_2013.07.31_145941,O=VMware\, Inc.
vCenterServer                   1.2.840.113549.1.9.1=#1612737570706f727440766d776172652e636f6d,CN=VMware default certificate,OU=vCenterServer_2013.07.31_150056,O=VMware\, Inc.

но последние части (OU =, O =) могут по какой-то причине отличаться

Подсказки для подобных проблем

Что я нашел полезным, так это декомпиляция класса com.vmware.identity.idm.server.provider.vmwdirectory.VMwareDirectoryProvider можно найти в одном из JAR в установке vSphere. Оказывается, он содержит некоторые жестко запрограммированные запросы LDAP, которые могут быть полезны при устранении других неполадок внутреннего LDAP-сервера VMWare. (Лучше не вставлять его сюда по лицензионным причинам). А для декомпиляции сторонних классов Java я научился использовать http://www.javadecompilers.com. CFR действительно хорошо работает.