你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何排查和解决在已启用 Arc 的 VMware vSphere 虚拟机上启用来宾管理时可能出现的问题。
排查启用来宾管理时出现的问题
错误消息:在已加入域的 Linux VM 上启用来宾管理失败,错误消息 InvalidGuestLogin:无法使用凭据向系统进行身份验证。
解决方法:在使用 Active Directory 凭据在已加入域的 Linux VM 上启用来宾管理之前,请按照以下步骤在 VM 上设置配置:
在 SSSD 配置文件(通常为 /etc/sssd/sssd.conf)中,在域的节下添加以下内容:
[domain/contoso.com] ad_gpo_map_batch = +vmtoolsd
对 SSSD 配置进行更改后,重启 SSSD 进程。 如果 SSSD 作为系统进程运行,请运行
sudo systemctl restart sssd以重启它。
其他信息
根据 sssd 主页的参数ad_gpo_map_batch:
基于 GPO 的访问控制基于 BatchLogonRight 和 DenyBatchLogonRight 策略设置评估的可插入身份验证模块(PAM)服务名称的逗号分隔列表。
可以使用 +service_name 将另一个 PAM 服务名称添加到默认集,或使用 -service_name 从默认集中显式删除 PAM 服务名称。 例如,若要将此登录的默认 PAM 服务名称(例如 crond)替换为自定义 PAM 服务名称(例如 ,my_pam_service),请使用以下配置:
ad_gpo_map_batch = +my_pam_service, -crond
默认值:PAM 服务名称的默认集包括:
crond:
vmtoolsd为 SSSD 评估启用了 PAM。 对于通过 VMware 工具发出的任何请求,将调用 SSSD,因为 VMware 工具使用此 PAM 对 Linux 来宾 VM 进行身份验证。
参考
后续步骤
如果你的问题未在本文中列出,或者无法解决你遇到的问题,请尝试通过以下途径之一获取支持:
通过 Microsoft Q&A 获取 Azure 专家的解答。
联系 @AzureSupport,这是用于改进客户体验的官方 Microsoft Azure 帐户。 Azure 支持人员会将你连接到 Azure 社区,从中可以获得解答、支持和专家建议。