Nach dem Upgrade auf ESX 6.5 schlägt die Verbindung zum „CIM Secure Server“ fehl, etwa wenn man das excellente Hardware Check Script check_esxi_hardware.py benutzt:
check_esxi_hardware.py -H esx-server -U monitor -P xxxxxx -v
20180105 19:48:09 Connection to https://esx-server
20180105 19:48:09 Check classe OMC_SMASHFirmwareIdentity
CRITICAL: (0, 'Socket error: [Errno 111] Connection refused')
Prüft man das dann bei den ESX-Einstellungen („Sicherheitsprofil“), ist der „CIM Secure Server“ gestoppt. Auch nachdem er gestartet wurde, stoppt er gleich wieder (Hinweis: man muss immer „refresh“ klicken um die Status Änderung zu sehen).
Auf der Konsole lautet der entsprechende Befehl:
/etc/init.d/sfcbd-watchdog
Zwar schlägt auch damit das starten fehl, doch hier sieht man einen wichtigen Hinweis:
[root@esx-server:~] /etc/init.d/sfcbd-watchdog start
sfcbd-init: Getting Exclusive access, please wait...
sfcbd-init: Exclusive access granted.
sfcbd-init: Request to start sfcbd-watchdog, pid 70492
sfcbd-config[70502]: No third party cim providers installed
sfcbd-init: sfcbd not started, administratively disabled.
Die letzte Zeile: sfcbd-init: sfcbd not started, administratively disabled.
liefert hierfür den Grund, dass es noch eine Art Beschränkung gibt, die man im GUI nicht einstellen kann.
Und zwar das sogenannte „Web-Based Enterprise Management (WBEM)“, welches mit ESX 6.5 eingeführt wurde.
Dies kann man nun mit: esxcli system wbem get
überprüfen:
[root@esx-server:~] esxcli system wbem get
Authorization Model: password
Enabled: false
Loglevel: warning
Port: 5989
WSManagement Service: true
Und dann gleich mit: esxcli system wbem set --enable true
aktivieren:
[root@esx-server:~] esxcli system wbem set --enable true
[root@esx-server:~] esxcli system wbem get
Authorization Model: password
Enabled: true
Loglevel: warning
Port: 5989
WSManagement Service: true
[root@esx-server:~] /etc/init.d/sfcbd-watchdog status
sfcbd is running
Sobald dies getan ist, funktioniert der Zugriff wieder!
Inhalt
Tipp: Read-Only User
Wenn man den Zugriff nicht mit dem root User machen möchte und stattdessen einen „read-only“ Benutzer (z.B. „monitor“) machen möchte, muss dieser trotzdem (und immer noch) in der root Gruppe sein, ansonsten erhält man folgende Fehlermeldung:
./check_esxi_hardware.py -H esx-server -U monitor -P xxxxxx -v
Connection to https://esx-server
Check classe OMC_SMASHFirmwareIdentity
Global exit set to UNKNOWN
Dies kann man auch nicht am GUI machen, aber auf der Konsole:
/usr/lib/vmware/busybox/bin/busybox adduser -s /bin/false -G root -h / monitor
esxcli system account list
Damit die Benutzerberechtigung nun bei reboots persistent bleibt muss man noch folgendes machen:
sed -i '/^exit/ i\sed -i "/^#/ a\\+:monitor:ALL" /etc/security/access.conf' /etc/rc.local.d/local.sh
One thought on “ESXi: CIM Secure Server läuft nicht”