Quando você configura o adaptador de autenticação Kerberos, aparece um erro informando que a inicialização Kerberos falhou.

Problema

Durante a instalação do VMware Identity Manager Connector, se você não tiver selecionado a opção Gostaria de executar o serviço do IDM Connector como uma conta de usuário do domínio? ou se você a tiver selecionado, mas especificado uma conta de domínio que não tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory, o Kerberos não poderá ser inicializado após a instalação. Quando você tenta configura o adaptador de autenticação Kerberos, aparece uma mensagem de erro informando que a inicialização Kerberos falhou.

Solução

Execute o script setupkerberos.bat com uma conta de usuário que tenha privilégios superiores. Utilize uma conta que:

  • seja um usuário de domínio

  • tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory (os membros de grupos de usuários administradores e operadores de conta têm esses direitos)

  • faça parte do grupo de administradores no servidor Windows no qual o VMware Identity Manager connector está instalado

Essa conta de usuário com privilégios superiores só é necessária temporariamente para executar o script e não será armazenada nem usada novamente para serviços do conector. Após executar o script, você poderá continuar a configurar o adaptador de autenticação Kerberos com a conta de usuário original que estava usando.

Para executar o script:

  1. Faça login na máquina do conector do Windows e navegue até o diretório InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.

  2. Clique com o botão direito do mouse em setupkerberos.bat e selecione Executar como administrador.

  3. Insira a conta de usuário com privilégios superiores descrita acima.

    Uma mensagem de confirmação será exibida depois que o script for executado com êxito

  4. Faça login no console do VMware Identity Manager com a conta de usuário original que você estava usando e configure o adaptador de autenticação Kerberos.

Sobre o script setupkerberos.bat

O script setupkerberos.bat realiza as seguintes tarefas:

  1. Cria uma conta de serviço com o mesmo nome que a conta da máquina (sem o $)

  2. Define uma senha aleatória para a conta

  3. Gera um arquivo keytab para a conta, armazenado em /usr/horizon/conf

  4. Mapeia o principal determinado da máquina como um SPN na conta