问题

在 Workspace ONE Access Connector 中安装 Kerberos 身份验证服务的过程中，如果未选择是否要以域用户帐户身份运行 Workspace ONE Access 服务? 选项，或者如果选择了该选项，但指定的域帐户无权在 Active Directory 中“创建、删除和管理用户帐户”，则在安装后将无法初始化 Kerberos。在尝试配置 Kerberos 身份验证适配器时，您收到指示 Kerberos 初始化失败的错误消息。

解决方案

使用具有更高特权的用户帐户运行 setupkerberos.bat 脚本。使用满足以下条件的帐户：

• 是域用户
• 有权在 Active Directory 中“创建、删除和管理用户帐户”（“管理员用户”和“帐户操作员”组的成员均具有这些权限）
• 属于安装 Workspace ONE Access Connector 的 Windows Server 上的管理员组

此具有更高特权的用户帐户仅在运行脚本时才临时需要使用，不会对其进行存储或再次将其用于连接器服务。运行脚本后，您可以继续使用之前使用的原始用户帐户来配置 Kerberos 身份验证方法。

! ( & % @ / = ? * , . #

要运行脚本，请执行以下操作：

1. 登录到 Connector Windows 计算机，然后导航到 InstallDir\Workspace_ONE_Access\Support\scripts 目录。
2. 右键单击 setupkerberos.bat，然后选择以管理员身份运行。
3. 输入上述具有更高特权的用户帐户。

   成功运行脚本后，将显示一条确认消息。

4. 使用之前使用的原始用户帐户登录到 Workspace ONE Access 控制台，并配置 Kerberos 身份验证方法。

关于 setupkerberos.bat 脚本

在 Workspace ONE Access Connector 20.01 或更高版本上安装 Kerberos 身份验证后，setupkerberos.bat 脚本将执行以下任务：

1. 使用与计算机帐户相同的名称创建一个服务帐户（不含 $）
2. 为该帐户设置随机密码
3. 为该帐户生成一个 keytab 文件，默认情况下，该文件将存储在 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf 中。
4. 将计算机的给定主体映射为帐户中的 SPN