Depois que o serviço Autenticação Kerberos é instalado no Workspace ONE Access Connector, você obtém um erro que declara que a inicialização Kerberos falhou.
Problema
Durante a instalação do serviço Autenticação Kerberos no Workspace ONE Access Connector, se você não tiver selecionado a opção Gostaria de executar os Serviços Workspace ONE Access como uma conta de usuário do domínio? ou se você a tiver selecionado, mas especificado uma conta de domínio que não tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory, o Kerberos não poderá ser inicializado após a instalação. Quando você tenta configura o adaptador de autenticação Kerberos, aparece uma mensagem de erro informando que a inicialização Kerberos falhou.
Solução
Execute o script setupkerberos.bat com uma conta de usuário que tenha privilégios superiores. Utilize uma conta que:
- seja um usuário de domínio
- tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory (os membros de grupos de usuários administradores e operadores de conta têm esses direitos)
- Faz parte do grupo de administradores no servidor Windows no qual o Workspace ONE Access Connector está instalado
Essa conta de usuário com privilégios superiores só é necessária temporariamente para executar o script e não será armazenada nem usada novamente para serviços do conector. Após executar o script, você poderá continuar a configurar o método de autenticação Kerberos com a conta de usuário original que estava usando.
! ( & % @ / = ? * , .
Para executar o script:
- Faça logon na máquina Windows do conector e navegue até o diretório InstallDir\Workspace_ONE_Access\Support\scripts.
Para conectores 19.03, navegue até InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.
- Clique com o botão direito do mouse em setupkerberos.bat e selecione Executar como administrador.
- Insira a conta de usuário com privilégios superiores descrita acima.
Uma mensagem de confirmação será exibida depois que o script for executado com êxito.
- Faça logon no console do Workspace ONE Access com a conta de usuário original que você estava usando e configure o método de autenticação Kerberos.
Sobre o script setupkerberos.bat
Quando a autenticação Kerberos está instalada no Workspace ONE Access Connector 20.01 ou posterior, o script setupkerberos.bat executa as seguintes tarefas:
- Cria uma conta de serviço com o mesmo nome que a conta da máquina (sem o $)
- Define uma senha aleatória para a conta
- Gera um arquivo keytab para a conta, por padrão, armazenado em InstallDir\Workspace ONE Access\Kerberos auth Service\conf.
Para o Workspace ONE Access Connector 19.03, o arquivo keytab para a conta é armazenado em /usr/Horizon/conf .
- Mapeia o principal determinado da máquina como um SPN na conta