Wenn Sie den Kerberos-Authentifizierungsadapter konfigurieren, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.
Problem
Wenn Sie bei der Installation von VMware Identity Manager Connector nicht die Option Möchten Sie den IDM Connector-Dienst als Domänenbenutzerkonto ausführen? ausgewählt haben, oder wenn Sie die Option zwar ausgewählt haben, aber das angegebene Domänenkonto keine Berechtigung zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory hat, kann Kerberos nach der Installation nicht initialisiert werden. Wenn Sie versuchen, den Kerberos-Authentifizierungsadapter zu konfigurieren, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.
Lösung
Führen Sie das Skript setupkerberos.bat mit einem Benutzerkonto mit höheren Berechtigungen aus. Verwenden Sie ein Konto mit den folgenden Eigenschaften:
Es ist ein Domänenbenutzer.
Es verfügt über die Berechtigung zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory (Mitglieder von Admin-Benutzer- und Kontobetreibergruppen haben diese Rechte).
Es ist Teil der Administratorgruppe auf dem Windows-Server, auf dem der VMware Identity Manager-Connector installiert ist.
Dieses Benutzerkonto mit höheren Berechtigungen ist nur vorübergehend erforderlich, um das Skript auszuführen. Es wird weder für Connector-Dienste gespeichert noch erneut verwendet. Nach der Ausführung des Skripts können Sie den Kerberos-Authentifizierungsadapter mit dem ursprünglichen Benutzerkonto, das Sie verwendet haben, weiter konfigurieren.
So führen Sie das Skript aus:
Melden Sie sich bei der Windows-Connector-Maschine an und gehen Sie zum Verzeichnis InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.
Klicken Sie mit der rechten Maustaste auf setupkerberos.bat und wählen Sie Als Administrator ausführen aus.
Geben Sie das Benutzerkonto mit den oben beschriebenen höheren Berechtigungen ein.
Eine Bestätigungsmeldung wird angezeigt, nachdem das Skript erfolgreich ausgeführt wurde.
Melden Sie sich mit dem ursprünglich verwendeten Benutzerkonto bei VMware Identity Manager Console an und konfigurieren Sie den Kerberos-Authentifizierungsadapter.
Grundlegendes zum setupkerberos.bat-Skript
Das setupkerberos.bat-Skript führt die folgenden Aufgaben aus:
Es erstellt ein Dienstkonto mit demselben Namen wie das Maschinenkonto (ohne das $-Zeichen).
Es legt ein zufälliges Kennwort für das Konto fest.
Es generiert eine Keytab-Datei für das Konto und speichert diese in /usr/horizon/conf.
Es ordnet den angegebenen Prinzipal der Maschine innerhalb des Kontos als SPN zu.