Nachdem der Kerberos-Authentifizierungsdienst auf dem Workspace ONE Access Connector installiert wurde, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.

Problem

Wenn Sie bei der Installation des Kerberos-Authentifizierungsdiensts im Workspace ONE Access Connector die Option Möchten Sie die Workspace ONE Access-Dienste als Domänenbenutzerkonto ausführen? nicht ausgewählt haben oder wenn Sie die Option zwar ausgewählt haben, aber ein Domänenkonto angegeben haben, das nicht über das Recht zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory verfügt, kann Kerberos nach der Installation nicht initialisiert werden. Wenn Sie versuchen, den Kerberos-Authentifizierungsadapter zu konfigurieren, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.

Lösung

Führen Sie das Skript setupkerberos.bat mit einem Benutzerkonto mit höheren Berechtigungen aus. Verwenden Sie ein Konto mit den folgenden Eigenschaften:

  • Es ist ein Domänenbenutzer.
  • Es verfügt über die Berechtigung zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory (Mitglieder von Admin-Benutzer- und Kontobetreibergruppen haben diese Rechte).
  • Ist Teil der Administratorgruppe auf dem Windows-Server, auf dem der Workspace ONE Access Connector installiert ist

Dieses Benutzerkonto mit höheren Berechtigungen ist nur vorübergehend erforderlich, um das Skript auszuführen, und wird nicht für Connector-Dienste gespeichert oder erneut verwendet. Nachdem Sie das Skript ausgeführt haben, können Sie die Kerberos-Authentifizierungsmethode mit dem ursprünglichen Benutzerkonto, das Sie verwendet haben, weiter konfigurieren.

Hinweis: Das Skript setupkerberos.bat unterstützt die folgenden Sonderzeichen im Kennwort des Domänenbenutzerkontos:
! ( & % @ / = ? * , .

So führen Sie das Skript aus:

  1. Melden Sie sich bei dem Windows-Computer mit dem Konnektor an und navigieren Sie zum Verzeichnis InstallDir\Workspace_ONE_Access\Support\scripts.

    Navigieren Sie für 19.03-Konnektoren zum Verzeichnis InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Klicken Sie mit der rechten Maustaste auf setupkerberos.bat und wählen Sie Als Administrator ausführen aus.
  3. Geben Sie das Benutzerkonto mit den oben beschriebenen höheren Berechtigungen ein.

    Nachdem das Skript erfolgreich ausgeführt wurde, wird eine Bestätigungsmeldung angezeigt.

  4. Melden Sie sich bei der Workspace ONE Access-Konsole mit dem ursprünglichen Benutzerkonto an, das Sie verwendet haben, und konfigurieren Sie die Kerberos-Authentifizierungsmethode.

Grundlegendes zum setupkerberos.bat-Skript

Wenn die Kerberos-Authentifizierung auf dem Workspace ONE Access Connector 20.01 oder höher installiert ist, führt das Skript setupkerberos.bat die folgenden Aufgaben aus:

  1. Es erstellt ein Dienstkonto mit demselben Namen wie das Maschinenkonto (ohne das $-Zeichen).
  2. Es legt ein zufälliges Kennwort für das Konto fest.
  3. Erstellt eine Keytab-Datei für das Konto, die standardmäßig in InstallDir\Workspace ONE Access\Kerberos Auth Service\conf gespeichert ist.

    Für den Workspace ONE Access Connector 19.03 wird die Keytab-Datei für das Konto in /usr/horizon/conf gespeichert.

  4. Es ordnet den angegebenen Prinzipal dem Computer innerhalb des Kontos als SPN zu.