VMware vCenter ADFS Login Loop Problemi ve Kesin Çözümü

 VMware vCenter ADFS Login Loop Problemi ve Kesin Çözümü

VMware vCenter Server (VCSA) ile Microsoft ADFS entegrasyonu kullanan ortamlarda zaman zaman kullanıcıların ADFS login ekranına düşüp tekrar tekrar aynı ekrana yönlendirildiği bir problem yaşanabiliyor.
Bu durum çoğu zaman net bir hata vermediği için tespit edilmesi zor oluyor.

Bu yazıda, ADFS sertifika süreleri nedeniyle oluşan login loop problemini, yaşanmış bir senaryo üzerinden nedenleri ve kalıcı çözüm adımlarıyla ele alacağız.

Problem Belirtileri

Aşağıdaki belirtilerden biri veya birkaçı varsa büyük ihtimalle aynı sorunla karşı karşıyasınız:

  • vCenter login ekranı ADFS’e yönlendiriyor
  • Kullanıcı adı ve parola doğru giriliyor
  • Hata mesajı görünmüyor
  • Ancak giriş sonrası tekrar ADFS login ekranına dönülüyor
  • Bu döngü sürekli devam ediyor

Önemli nokta şu:
ADFS herhangi bir hata mesajı üretmez, bu yüzden çoğu zaman SSL veya ağ problemi sanılır.

İlk Kontrol: ADFS Sertifikaları

ADFS üzerinde üç temel sertifika bulunur:

  • Service Communications (HTTPS/SSL)
  • Token-Signing
  • Token-Decrypting

İlk bakılması gereken yer ADFS sertifika durumudur.

PowerShell ile sertifika durumu kontrolü

ADFS sunucusunda Administrator yetkisiyle PowerShell açılır:

Get-AdfsCertificate

 

Özellikle şu sertifikaya dikkat edilmelidir:

  • Token-Decrypting

Eğer Token-Decrypting sertifikasının Expiration Date tarihi geçmişse, login loop probleminin nedeni büyük ihtimalle budur.

Not: Service Communications sertifikası geçerli olsa bile Token-Decrypting sertifikası süresi dolmuşsa bu sorun yaşanabilir.

Neden Hata Görünmüyor?

Bu, ADFS’in tasarımından kaynaklanır.

  • Kullanıcı adı/parola doğrulaması başarılı olur
  • Ancak üretilen şifreli token çözülemez
  • Güvenlik sebebiyle kullanıcıya hata gösterilmez
  • Kullanıcı sessizce tekrar login ekranına gönderilir

Bu yüzden problem genelde “yanlış şifre” veya “tarayıcı sorunu” gibi yanlış yorumlanır.

Karşılaşılan Hata: Certificate Rollover Disabled

Token-Decrypting sertifikasını yenilemek isterken aşağıdaki hata görülebilir:

Update-AdfsCertificate : Certificate Rollover is disabled

 

Bu hata, ADFS üzerinde Automatic Certificate Rollover özelliğinin kapalı olduğunu gösterir.
Bu durumda sertifika otomatik olarak yenilenemez.

Kesin Çözüm Adımları

1. Certificate Rollover Durumunu Kontrol Et

Get-AdfsProperties | Select AutoCertificateRollover

Büyük ihtimalle çıktı şu şekilde olacaktır:

AutoCertificateRollover : False

2. Auto Certificate Rollover’ı Aktif Et

Set-AdfsProperties -AutoCertificateRollover $true

Bu işlem:

  • Servisi kesmez
  • Mevcut authentication’ları bozmaz
  • Microsoft tarafından önerilen yöntemdir

3. Token‑Decrypting Sertifikasını Yenile

Update-AdfsCertificate -CertificateType Token-Decrypting

Kontrol için:

Get-AdfsCertificate -CertificateType Token-Decrypting

Yeni sertifikanın:

  • Expiration Date’i ileri bir tarih olmalı
  • Primary olarak görünmesi gerekir

 

4. (Önerilir) Token-Signing Sertifikasını da Yenile

Update-AdfsCertificate -CertificateType Token-Signing

5. ADFS Servisini Restart Et

Restart-Service adfssrv

 

Post Views: 7
Etiketlendi