Depois que o serviço Autenticação Kerberos é instalado no Workspace ONE Access Connector, você obtém um erro que declara que a inicialização Kerberos falhou.

Problema

Durante a instalação do serviço Autenticação Kerberos no Workspace ONE Access Connector, se você não tiver selecionado a opção Gostaria de executar os Serviços Workspace ONE Access como uma conta de usuário do domínio? ou se você a tiver selecionado, mas especificado uma conta de domínio que não tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory, o Kerberos não poderá ser inicializado após a instalação. Quando você tenta configura o adaptador de autenticação Kerberos, aparece uma mensagem de erro informando que a inicialização Kerberos falhou.

Solução

Execute o script setupkerberos.bat com uma conta de usuário que tenha privilégios superiores. Utilize uma conta que:

  • seja um usuário de domínio
  • tenha o direito de "Criar, excluir e gerenciar contas de usuário" no Active Directory (os membros de grupos de usuários administradores e operadores de conta têm esses direitos)
  • Faz parte do grupo de administradores no servidor Windows no qual o Workspace ONE Access Connector está instalado

Essa conta de usuário com privilégios superiores só é necessária temporariamente para executar o script e não será armazenada nem usada novamente para serviços do conector. Após executar o script, você poderá continuar a configurar o método de autenticação Kerberos com a conta de usuário original que estava usando.

Observação: O script setupkerberos.bat oferece suporte aos seguintes caracteres especiais na senha da conta de usuário do domínio:
! ( & % @ / = ? * , .

Para executar o script:

  1. Faça logon na máquina Windows do conector e navegue até o diretório InstallDir\Workspace_ONE_Access\Support\scripts.

    Para conectores 19.03, navegue até InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Clique com o botão direito do mouse em setupkerberos.bat e selecione Executar como administrador.
  3. Insira a conta de usuário com privilégios superiores descrita acima.

    Uma mensagem de confirmação será exibida depois que o script for executado com êxito.

  4. Faça logon no console do Workspace ONE Access com a conta de usuário original que você estava usando e configure o método de autenticação Kerberos.

Sobre o script setupkerberos.bat

Quando a autenticação Kerberos está instalada no Workspace ONE Access Connector 20.01 ou posterior, o script setupkerberos.bat executa as seguintes tarefas:

  1. Cria uma conta de serviço com o mesmo nome que a conta da máquina (sem o $)
  2. Define uma senha aleatória para a conta
  3. Gera um arquivo keytab para a conta, por padrão, armazenado em InstallDir\Workspace ONE Access\Kerberos auth Service\conf.

    Para o Workspace ONE Access Connector 19.03, o arquivo keytab para a conta é armazenado em /usr/Horizon/conf .

  4. Mapeia o principal determinado da máquina como um SPN na conta