Workspace ONE Access Connector 上安装 Kerberos 身份验证服务后,您收到指示 Kerberos 初始化失败的错误。

问题

Workspace ONE Access Connector 中安装 Kerberos 身份验证服务的过程中,如果未选择是否要以域用户帐户身份运行 Workspace ONE Access 服务? 选项,或者如果选择了该选项,但指定的域帐户无权在 Active Directory 中“创建、删除和管理用户帐户”,则在安装后将无法初始化 Kerberos。在尝试配置 Kerberos 身份验证适配器时,您收到指示 Kerberos 初始化失败的错误消息。

解决方案

使用具有更高特权的用户帐户运行 setupkerberos.bat 脚本。使用满足以下条件的帐户:

  • 是域用户
  • 有权在 Active Directory 中“创建、删除和管理用户帐户”(“管理员用户”和“帐户操作员”组的成员均具有这些权限)
  • 属于安装 Workspace ONE Access Connector 的 Windows Server 上的管理员组

此具有更高特权的用户帐户仅在运行脚本时才临时需要使用,不会对其进行存储或再次将其用于连接器服务。运行脚本后,您可以继续使用之前使用的原始用户帐户来配置 Kerberos 身份验证方法。

要运行脚本,请执行以下操作:

  1. 登录到 Connector Windows 计算机,然后导航到 InstallDir\Workspace_ONE_Access\Support\scripts 目录。

    对于 19.03 Connector,请导航到 InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts 目录。

  2. 右键单击 setupkerberos.bat,然后选择以管理员身份运行
  3. 输入上述具有更高特权的用户帐户。

    成功运行脚本后,将显示一条确认消息。

  4. 使用之前使用的原始用户帐户登录到 Workspace ONE Access 控制台,并配置 Kerberos 身份验证方法。

关于 setupkerberos.bat 脚本

在 Workspace ONE Access Connector 20.01 或更高版本上安装 Kerberos 身份验证后,setupkerberos.bat 脚本将执行以下任务:

  1. 使用与计算机帐户相同的名称创建一个服务帐户(不含 $
  2. 为该帐户设置随机密码
  3. 为该帐户生成一个 keytab 文件,默认情况下,该文件将存储在 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf 中。

    对于 Workspace ONE Access Connector 19.03,帐户的 keytab 文件将存储在 /usr/horizon/conf 中。

  4. 将计算机的给定主体映射为帐户中的 SPN