ESXi: CIM Secure Server läuft nicht

Nach dem Upgrade auf ESX 6.5 schlägt die Verbindung zum „CIM Secure Server“ fehl, etwa wenn man das excellente Hardware Check Script check_esxi_hardware.py benutzt:

check_esxi_hardware.py -H esx-server -U monitor -P xxxxxx -v
20180105 19:48:09 Connection to https://esx-server
20180105 19:48:09 Check classe OMC_SMASHFirmwareIdentity
CRITICAL: (0, 'Socket error: [Errno 111] Connection refused')

Prüft man das dann bei den ESX-Einstellungen („Sicherheitsprofil“), ist der „CIM Secure Server“ gestoppt. Auch nachdem er gestartet wurde, stoppt er gleich wieder (Hinweis: man muss immer „refresh“ klicken um die Status Änderung zu sehen).

Auf der Konsole lautet der entsprechende Befehl:

/etc/init.d/sfcbd-watchdog

Zwar schlägt auch damit das starten fehl, doch hier sieht man einen wichtigen Hinweis:

[root@esx-server:~] /etc/init.d/sfcbd-watchdog start
sfcbd-init: Getting Exclusive access, please wait...
sfcbd-init: Exclusive access granted.
sfcbd-init: Request to start sfcbd-watchdog, pid 70492
sfcbd-config[70502]: No third party cim providers installed
sfcbd-init: sfcbd not started, administratively disabled.

Die letzte Zeile: sfcbd-init: sfcbd not started, administratively disabled. liefert hierfür den Grund, dass es noch eine Art Beschränkung gibt, die man im GUI nicht einstellen kann.

Und zwar das sogenannte „Web-Based Enterprise Management (WBEM)“, welches mit ESX 6.5 eingeführt wurde.

Dies kann man nun mit: esxcli system wbem get überprüfen:

[root@esx-server:~] esxcli system wbem get
   Authorization Model: password
   Enabled: false
   Loglevel: warning
   Port: 5989
   WSManagement Service: true

Und dann gleich mit: esxcli system wbem set --enable true aktivieren:

[root@esx-server:~] esxcli system wbem set --enable true

[root@esx-server:~] esxcli system wbem get
   Authorization Model: password
   Enabled: true
   Loglevel: warning
   Port: 5989
   WSManagement Service: true

[root@esx-server:~] /etc/init.d/sfcbd-watchdog status
sfcbd is running

Sobald dies getan ist, funktioniert der Zugriff wieder!

Inhalt

Tipp: Read-Only User

Wenn man den Zugriff nicht mit dem root User machen möchte und stattdessen einen „read-only“ Benutzer (z.B. „monitor“) machen möchte, muss dieser trotzdem (und immer noch) in der root Gruppe sein, ansonsten erhält man folgende Fehlermeldung:

./check_esxi_hardware.py -H esx-server -U monitor -P xxxxxx -v
  Connection to https://esx-server
  Check classe OMC_SMASHFirmwareIdentity
  Global exit set to UNKNOWN

Dies kann man auch nicht am GUI machen, aber auf der Konsole:

/usr/lib/vmware/busybox/bin/busybox adduser -s /bin/false -G root -h / monitor
esxcli system account list

Damit die Benutzerberechtigung nun bei reboots persistent bleibt muss man noch folgendes machen:

sed -i '/^exit/ i\sed -i "/^#/ a\\+:monitor:ALL" /etc/security/access.conf' /etc/rc.local.d/local.sh

Weitere Links

0

Published by

Steven Varco

Steven ist ein Redhat RHCE- und Kubernetes CKA Zertifizierter Linux-Crack und ist seit über 20 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

One thought on “ESXi: CIM Secure Server läuft nicht”

  1. Pingback: Adaptec RAID 5405 in ESX 6.5 Überwachen – tech-island.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert