VMware Identity Manager Connector 上配置并启用 KerberosIdpAdapter。如果已部署一个群集以实现高可用性,请在群集中的所有连接器上配置并启用该适配器。

重要事项: 必须按完全相同的方式配置群集中的所有连接器上的身份验证适配器。必须在所有连接器上配置相同的身份验证方法。

有关配置 Kerberos 身份验证的详细信息,请参阅《VMware Identity Manager 管理指南》

前提条件

  • 该连接器必须加入到 Active Directory 域中。
  • 连接器主机名必须与该连接器加入到的 Active Directory 域相匹配。例如,如果 Active Directory 域为 sales.example.com,则连接器主机名必须为 connectorhost.sales.example.com。

    如果您无法分配与 Active Directory 域结构相匹配的主机名,则需要手动配置连接器和 Active Directory。请参阅知识库以了解相关信息。

过程

  1. VMware Identity Manager 管理控制台中,单击身份和访问管理选项卡。
  2. 单击设置,然后单击连接器选项卡。
    将列出您部署的所有连接器。
  3. 单击某个连接器的工作线程列中的链接。
  4. 单击身份验证适配器选项卡。
  5. 单击 KerberosIdpAdapter 链接,然后配置并启用该适配器。
    选项 描述
    名称 该适配器的默认名称为 KerberosIdpAdapter。您可以对此名称进行更改。
    目录 UID 属性 包含用户名的帐户属性。
    启用 Windows 身份验证 选择此选项。
    启用 NTLM 您不需要选择该选项,除非 Active Directory 基础架构依赖于 NTLM 身份验证。
    注: 该选项仅在基于 Linux 的 VMware Identity Manager 上受支持。
    启用重定向 如果在群集中具有多个连接器,并且打算使用负载平衡器以设置 Kerberos 高可用性,请选择该选项并为重定向主机名指定一个值。

    如果您的部署只有一个连接器,则不需要使用启用重定向重定向主机名选项。

    重定向主机名 如果已选择启用重定向选项,则需要指定一个值。输入连接器自己的主机名。例如,如果连接器的主机名是 connector1.example.com,请在文本框中输入 connector1.example.com
    例如:
    Linux Kerberos 适配器屏幕截图

    有关配置 KerberosIdPAdapter 的详细信息,请参阅 《VMware Identity Manager 管理指南》
  6. 单击保存
  7. 如果已部署一个群集,请在群集中的所有连接器上配置 KerberosIdPAdapter。
    请确保在所有连接器上对适配器进行相同的配置,“重定向主机名”值除外,该值对于每个连接器应当都是特定的。

后续步骤

  • 确保启用了 KerberosIdpAdapter 的每个连接器均具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。

    无论您是在单个连接器上启用 Kerberos,还是在多个连接器上为实现高可用性而启用 Kerberos,都需要受信任的 SSL 证书。

  • 如有必要,请为 Kerberos 身份验证设置高可用性。如果没有负载平衡器,则 Kerberos 身份验证不具有高可用性。