问题

在安装 VMware Identity Manager Connector 的过程中，如果未选择是否要以域用户帐户身份运行 IDM Connector 服务? 选项，或者如果选择了该选项，但指定的域帐户无权在 Active Directory 中“创建、删除和管理用户帐户”，则在安装后将无法初始化 Kerberos。在尝试配置 Kerberos 身份验证适配器时，您收到指示 Kerberos 初始化失败的错误消息。

解决方案

使用具有更高特权的用户帐户运行 setupkerberos.bat 脚本。使用满足以下条件的帐户：

• 是域用户
• 有权在 Active Directory 中“创建、删除和管理用户帐户”（“管理员用户”和“帐户操作员”组的成员均具有这些权限）
• 属于安装 VMware Identity Manager Connector 的 Windows Server 上的管理员组

此具有更高特权的用户帐户仅在运行脚本时才临时需要使用，将不会对其进行存储或再次将其用于连接器服务。运行脚本后，您可以继续使用之前使用的原始用户帐户来配置 Kerberos 身份验证适配器。

要运行脚本，请执行以下操作：

1. 登录到 Windows 连接器计算机，然后导航到 InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts 目录。
2. 右键单击 setupkerberos.bat，然后选择以管理员身份运行。
3. 输入上述具有更高特权的用户帐户。

   成功运行脚本后，将显示一条确认消息

4. 使用之前使用的原始用户帐户登录到 VMware Identity Manager 控制台，并配置 Kerberos 身份验证适配器。

关于 setupkerberos.bat 脚本

setupkerberos.bat 脚本执行以下任务：

1. 使用与计算机帐户相同的名称创建一个服务帐户（不含 $）
2. 为该帐户设置随机密码
3. 为该帐户生成一个 keytab 文件，该文件存储在 /usr/horizon/conf 中
4. 将计算机的给定主体映射为帐户中的 SPN