VMware Identity Manager Connector上配置并启用 KerberosIdpAdapter。如果已部署一个群集以实现高可用性,请在群集中的所有连接器上配置并启用该适配器。

重要事项: 必须按完全相同的方式配置群集中的所有连接器上的身份验证适配器。必须在所有连接器上配置相同的身份验证方法。

在配置 Kerberos 身份验证适配器时,VMware Identity ManagerConnector 尝试自动初始化 Kerberos。如果未使用足够的权限运行 VMware IDM Connector 服务以初始化 Kerberos,则会显示一条错误消息。在这种情况下,请按照http://kb.vmware.com/kb/2149753中的说明运行脚本以初始化 Kerberos。

有关配置 Kerberos 身份验证的详细信息,请参阅《VMware Identity Manager 管理指南》

前提条件

  • 安装了 VMware Identity ManagerConnector 的 Windows 计算机必须加入域。
  • 您必须在 Windows 计算机上以域用户(属于安装连接器的 Windows 计算机上的管理员组)身份安装了 VMware Identity Manager Connector,并且正在以 Windows 域用户身份运行 VMware IDM Connector 服务。

过程

  1. VMware Identity Manager管理控制台中,单击身份和访问管理选项卡。
  2. 单击设置,然后单击连接器选项卡。
    将列出您部署的所有连接器。
  3. 单击某个连接器的工作线程列中的链接。
  4. 单击身份验证适配器选项卡。
  5. 单击 KerberosIdpAdapter 链接,然后配置并启用该适配器。
    选项 描述
    名称 该适配器的默认名称为 KerberosIdpAdapter。您可以对此名称进行更改。
    目录 UID 属性 包含用户名的帐户属性。
    启用 Windows 身份验证 选择此选项。
    启用重定向 如果在群集中具有多个连接器,并且打算使用负载平衡器以设置 Kerberos 高可用性,请选择该选项并为重定向主机名指定一个值。

    如果您的部署只有一个连接器,则不需要使用启用重定向重定向主机名选项。

    重定向主机名 如果已选择启用重定向选项,则需要指定一个值。输入连接器自己的主机名。例如,如果连接器的主机名是 connector1.example.com,请在文本框中输入 connector1.example.com
    例如:
    有关配置 KerberosIdPAdapter 的详细信息,请参阅 《VMware Identity Manager 管理指南》
  6. 单击保存
    注: 如果您收到指示 Kerberos 初始化失败的错误,请参阅 Kerberos 初始化错误。运行脚本后,请返回到此页面并配置适配器。
  7. 如果已部署一个群集,请在群集中的所有连接器上配置 KerberosIdPAdapter。
    请确保在所有连接器上对适配器进行相同的配置,“重定向主机名”值除外,该值对于每个连接器应当都是特定的。

后续步骤

  • 确保启用了 KerberosIdpAdapter 的每个连接器均具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。

    无论您是在单个连接器上启用 Kerberos,还是在多个连接器上为实现高可用性而启用 Kerberos,都需要受信任的 SSL 证书。

  • 如有必要,请为 Kerberos 身份验证设置高可用性。如果没有负载平衡器,则 Kerberos 身份验证不具有高可用性。