Konfigurieren und aktivieren Sie den KerberosIdpAdapter auf dem VMware Identity Manager Connector. Wenn Sie einen Cluster für Hochverfügbarkeit bereitgestellt haben, konfigurieren und aktivieren Sie den Adapter in allen Konnektoren Ihres Clusters.

Wichtig: Die Authentifizierungsadapter der Connectors in Ihrem Cluster müssen alle identisch konfiguriert sein. Für alle Konnektoren muss die gleiche Authentifizierungsmethode konfiguriert werden.

Weitere Informationen zur Konfiguration der Kerberos-Authentifizierung finden Sie im Administratorhandbuch für VMware Identity Manager.

Voraussetzungen

  • Der Connector muss der Active Directory-Domäne beitreten.
  • Der Connector-Hostname muss mit der Active Directory-Domäne übereinstimmen, zu der der Connector hinzugefügt wird. Wenn beispielsweise die Active Directory-Domäne Sales.example.com lautet, muss der Connector-Hostname Connectorhost.sales.example.com lauten.

    Wenn Sie einen Hostnamen, der der Domänenstruktur von Active Directory entspricht, nicht zuweisen können, müssen Sie den Connector und Active Directory manuell konfigurieren. Weitere Informationen finden Sie in der Knowledgebase.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Verwaltungskonsole auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Klicken Sie auf Einrichten und wählen Sie anschließend die Registerkarte Konnektoren aus.
    Es werden alle von Ihnen bereitgestellten Konnektoren aufgeführt.
  3. Klicken Sie auf den Link in der Spalte Worker eines der Konnektoren.
  4. Klicken Sie auf die Registerkarte Authentifizierungsadapter.
  5. Klicken Sie auf den KerberosIdpAdapter-Link und konfigurieren bzw. aktivieren Sie den Adapter.
    Option Beschreibung
    Name Der Standardname des Adapters lautet KerberosIdpAdapter. Sie können diesen Namen ändern.
    Verzeichnis-UID-Attribut Das Kontoattribut, das den Benutzernamen enthält.
    Windows-Authentifizierung aktivieren Wählen Sie diese Option aus.
    NTLM aktivieren Sie müssen diese Option nicht auswählen, es sei denn Ihre Active Directory-Infrastruktur beruht auf der NTLM-Authentifizierung.
    Hinweis: Diese Option wird nur auf dem Linux-basierten VMware Identity Manager unterstützt.
    Umleitung aktivieren Wenn Sie über mehrere Konnektoren in einem Cluster verfügen und eine Kerberos-Hochverfügbarkeit mithilfe eines Lastausgleichsdienstes einrichten möchten, wählen Sie diese Option aus und geben Sie einen Wert für Hostnamen umleiten ein.

    Wenn Ihre Bereitstellung nur über einen Konnektor verfügt, müssen Sie die Optionen Umleitung aktivieren und Hostnamen umleiten nicht verwenden.

    Hostnamen umleiten Wenn Sie die Option Umleitung aktivieren auswählen, müssen Sie einen Wert eingeben. Geben Sie den Hostnamen des Konnektors ein. Wenn der Hostname des Connectors beispielsweise „connector1.beispiel.de“ lautet, geben Sie connector1.beispiel.de in das Textfeld ein.
    Zum Beispiel:
    Linux-Screeshot für Kerberos-Adapter

    Weitere Informationen zur Konfiguration von KerberosIdPAdapter finden Sie im Administratorhandbuch für VMware Identity Manager.
  6. Klicken Sie auf Speichern.
  7. Wenn Sie einen Cluster bereitgestellt haben, konfigurieren und aktivieren Sie KerberosIdPAdapter in allen Konnektoren Ihres Clusters.
    Stellen Sie sicher, dass der Adapter in allen Konnektoren identisch konfiguriert wird, mit Ausnahme des Werts „Hostnamen umleiten“. Dieser sollte für jeden Konnektor spezifisch sein.

Nächste Maßnahme

  • Stellen Sie sicher, dass jeder Connector, auf dem der „KerberosIdpAdapter“ aktiviert ist, über ein vertrauenswürdiges SSL-Zertifikat verfügt. Sie können das Zertifikat von Ihrer internen Zertifizierungsstelle beziehen. Kerberos-Authentifizierung funktioniert nicht mit selbst signierten Zertifikaten.

    Vertrauenswürdige SSL-Zertifikate sind erforderlich, unabhängig davon, ob Sie Kerberos auf einem einzelnen Connector oder auf mehreren Connectors für Hochverfügbarkeit aktivieren.

  • Richten Sie bei Bedarf eine Hochverfügbarkeit für die Kerberos-Authentifizierung ein. Die Kerberos-Authentifizierung ist ohne Lastausgleichsdienst nicht hochverfügbar.