domain_krb.properties 文件确定用于启用了 DNS 服务位置查找的目录的域控制器。您可以随时编辑该文件以修改域的域控制器列表,也可以添加或删除域条目。您所做的更改将不会被覆盖。

在 Linux 虚拟设备中,domain_krb.properties 文件位于 /usr/local/horizon/conf 目录。在 Windows Server 中,domain_krb.properties 文件位于 installDir\IDMConnector\usr\local\horizon\conf 目录。

该文件最初由连接器创建并自动填充。在某些情况下,您需要手动更新该文件,例如:

  • 如果默认选择的域控制器不是最适合您的配置的域控制器,则需要编辑该文件并指定要使用的域控制器。
  • 如果删除某个目录,则需要从该文件中删除对应的域条目。
  • 如果该文件中的任何域控制器不可访问,则需要将这些域控制器从该文件中移除。

另请参阅关于域控制器选择(domain_krb.properties 文件)

过程

  1. (Linux 虚拟设备)以 root 用户身份登录到 VMware Identity Manager 服务或连接器虚拟机。
    在典型的内部部署中,如果未部署其他连接器,则会在 VMware Identity Manager 服务的服务器中创建该文件。如果为目录使用外部连接器,则会在连接器服务器中创建该文件。

    在 SaaS 部署中,会在连接器服务器中创建该文件。

  2. (Windows Server) 登录到 VMware Identity Manager 服务或连接器服务器。
    在典型的内部部署中,如果未部署其他连接器,则会在 VMware Identity Manager 服务的服务器中创建该文件。如果为目录使用外部连接器,则会在连接器服务器中创建该文件。

    在 SaaS 部署中,会在连接器服务器中创建该文件。

  3. (Linux 虚拟设备)将目录更改为 /usr/local/horizon/conf
  4. (Windows Server) 转到 installDir\IDMConnector\usr\local\horizon\conf 目录。
  5. 编辑 domain_krb.properties 文件以添加或编辑域主机值列表。
    具体格式如下:

    domain=host:port,host2:port,host3:port

    例如:
    example.com=examplehost1.example.com:389,examplehost2.example.com:389

    请按照优先级顺序列出域控制器。为了连接到 Active Directory,连接器会尝试使用列表中的第一个域控制器。如果无法访问,则尝试使用列表中的第二个域控制器,依此类推。

    重要事项: 域名必须采用小写形式。
  6. domain_krb.properties 文件的所有者更改为 horizon,并将组更改为 www
    在 Linux 上,请使用以下命令:

    chown horizon:www /usr/local/horizon/conf/domain_krb.properties

  7. 重新启动服务。
    在 Linux 上,请使用以下命令:

    service horizon-workspace restart

后续步骤

(仅限 Linux 虚拟设备)编辑 domain_krb.properties 文件后,再编辑 /etc/krb5.conf 文件。krb5.conf 文件必须与 domain_krb.properties 文件一致。

  1. 编辑 /etc/krb5.conf 文件,更新其中的 realms 部分,以指定与 /usr/local/horizon/conf/domain_krb.properties 文件中所用值相同的域-主机值。您不需要指定端口号。例如,如果您的 domain_krb.properties 文件中含有域条目 example.com=examplehost.example.com:389,您需要将 krb5.conf 文件更新为以下内容。
    [realms]
    GAUTO-QA.COM = {
    auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
    auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
    auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-QA\.COM/GAUTO2QA/
    auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
    auth_to_local = DEFAULT                                                          
    kdc = examplehost.example.com
    }
    注: 可以有多个 kdc 条目。但是,并不要求这样做,因为在多数情况下只有一个 kdc 值。如果您选择定义其他 kdc 值,则每行将有一个 kdc 条目,以定义域控制器。
  2. 重新启动 Workspace 服务。
    service horizon-workspace restart

另请参阅知识库文章 2091744