你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

排查适用于 Linux VM 的来宾管理问题

本文介绍如何排查和解决在已启用 Arc 的 VMware vSphere 虚拟机上启用来宾管理时可能出现的问题。

排查启用来宾管理时出现的问题

错误消息:在已加入域的 Linux VM 上启用来宾管理失败,错误消息 InvalidGuestLogin:无法使用凭据向系统进行身份验证。

解决方法:在使用 Active Directory 凭据在已加入域的 Linux VM 上启用来宾管理之前,请按照以下步骤在 VM 上设置配置:

  1. 在 SSSD 配置文件(通常为 /etc/sssd/sssd.conf)中,在域的节下添加以下内容:

    [domain/contoso.com] ad_gpo_map_batch = +vmtoolsd

  2. 对 SSSD 配置进行更改后,重启 SSSD 进程。 如果 SSSD 作为系统进程运行,请运行 sudo systemctl restart sssd 以重启它。

其他信息

根据 sssd 主页的参数ad_gpo_map_batch

基于 GPO 的访问控制基于 BatchLogonRight 和 DenyBatchLogonRight 策略设置评估的可插入身份验证模块(PAM)服务名称的逗号分隔列表。

可以使用 +service_name 将另一个 PAM 服务名称添加到默认集,或使用 -service_name 从默认集中显式删除 PAM 服务名称。 例如,若要将此登录的默认 PAM 服务名称(例如 crond)替换为自定义 PAM 服务名称(例如 ,my_pam_service),请使用以下配置:

ad_gpo_map_batch = +my_pam_service, -crond

默认值:PAM 服务名称的默认集包括:

  • crond:

    vmtoolsd 为 SSSD 评估启用了 PAM。 对于通过 VMware 工具发出的任何请求,将调用 SSSD,因为 VMware 工具使用此 PAM 对 Linux 来宾 VM 进行身份验证。

参考

后续步骤

如果你的问题未在本文中列出,或者无法解决你遇到的问题,请尝试通过以下途径之一获取支持:

  • 通过 Microsoft Q&A 获取 Azure 专家的解答。

  • 联系 @AzureSupport,这是用于改进客户体验的官方 Microsoft Azure 帐户。 Azure 支持人员会将你连接到 Azure 社区,从中可以获得解答、支持和专家建议。

  • 创建 Azure 支持请求