Configure e habilite o KerberosIdpAdapter no VMware Identity Manager Connector. Caso você tenha implantado um cluster para alta disponibilidade, configure e habilite o adaptador em todos os conectores de seu cluster.

Importante: Os adaptadores de autenticação em todos os conectores do cluster devem ser configurados de forma idêntica. Todos os conectores devem ser configurados com o mesmo método de autenticação.

Para obter mais informações sobre como configurar a autenticação Kerberos, consulte o Guia de administração do VMware Identity Manager.

Pré-requisitos

  • O conector deve ser associado ao domínio do Active Directory.
  • O nome do host do conector deve corresponder ao domínio do Active Directory no qual o conector ingressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do host do conector deverá ser connectorhost.vendas.exemplo.com.

    Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do Active Directory, precisará configurar manualmente o conector e o Active Directory. Consulte a Base de conhecimento para obter informações.

Procedimento

  1. No console de administração do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso.
  2. Clique na guia Configuração e, em seguida, clique na guia Conectores.
    Todos os conectores que você tiver implantado estão listados.
  3. Clique na coluna Trabalhador de um dos conectores.
  4. Clique na guia Adaptadores de Autenticação.
  5. Clique no link KerberosIdpAdapter para configurar e habilitar o adaptador.
    Opção Descrição
    Nome O nome padrão do adaptador é KerberosIdpAdapter. Você pode alterar esse nome.
    Atributo de UID de diretório O atributo da conta que contém o nome de usuário.
    Habilitar Autenticação do Windows Selecione esta opção.
    Habilitar NTLM Você não precisa selecionar essa opção a menos que a infraestrutura de seu Active Directory dependa de autenticação NTLM.
    Observação: Só há suporte para essa opção no VMware Identity Manager baseado em Linux.
    Habilitar redirecionamento Caso você tenha vários conectores e um cluster e planeje configurar a alta disponibilidade Kerberos usando um balanceador de carga, selecione essa opção e especifique um valor para Nome do host de redirecionamento.

    Caso sua implantação tenha apenas um conector, você não precisa usar as opções Habilitar redirecionamento e Nome do host de redirecionamento.

    Nome do host de redirecionamento Exige-se um valor se a opção Habilitar redirecionamento for selecionada. Digite o nome do host do próprio conector. Por exemplo, caso o nome do host do conector seja conector1.exemplo.com, digite conector1.exemplo.com na caixa de texto.
    Por exemplo:
    Screenshot do Linux para o adaptador Kerberos

    Para obter mais informações sobre a configuração do KerberosIdPAdapter, consulte o Guia de administração do VMware Identity Manager.
  6. Clique em Salvar.
  7. Caso você tenha implantado um cluster, configure o KerberosIdPAdapter em todos os conectores de seu cluster.
    Verifique se você configurou o adaptador de forma idêntica em todos os conectores, exceto para o valor do Nome do Host de Redirecionamento, que deve ser específico para cada conector.

O que Fazer Depois

  • Verifique se cada conector no qual o KerberosIdpAdapter está ativado tem um certificado SSL confiável. Você pode obter o certificado da sua autoridade de certificação interna. A autenticação Kerberos não funciona com certificados autoassinados.

    Os certificados SSL confiáveis são necessários, independentemente se você ativa o Kerberos em um único conector ou em vários conectores para alta disponibilidade.

  • Se for necessário, defina alta disponibilidade para a autenticação Kerberos. A autenticação Kerberos não terá alta disponibilidade sem um balanceador de carga.