Cuando se configura el adaptador de autenticación Kerberos, se obtiene un error que indica que no se pudo inicializar Kerberos.

Problema

Durante la instalación de VMware Identity Manager Connector, si no seleccionó la opción ¿Desea ejecutar el servicio de IDM Connector como una cuenta de usuario de dominio?, o si seleccionó la opción pero especificó una cuenta de dominio que no tiene el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory, Kerberos no se podrá inicializar después de la instalación. Cuando se intenta configurar el adaptador de autenticación Kerberos, se obtiene un mensaje de error que indica que no se pudo inicializar Kerberos.

Solución

Ejecute el script setupkerberos.bat con una cuenta de usuario que tenga más privilegios. Use una cuenta que:

  • Sea un usuario de dominio.
  • Tenga el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory (los miembros de los grupos Usuarios administradores y Operadores de cuenta tienen estos derechos).
  • Forme parte del grupo de administradores del servidor de Windows en el que esté instalado VMware Identity Manager Connector.

Esta cuenta de usuario con más privilegios solo se requiere temporalmente para ejecutar el script, y no se almacenará ni se volverá a utilizar para los servicios del conector. Después de ejecutar el script, podrá continuar con la configuración del adaptador de autenticación Kerberos con la cuenta de usuario original que estaba utilizando.

Para ejecutar el script:

  1. Inicie sesión en la máquina del conector de Windows y desplácese hasta el directorio Directorio de instalación\VMware Identity Manager\Connector\usr\local\horizon\scripts.
  2. Haga clic con el botón derecho en setupkerberos.bat y seleccione Ejecutar como administrador.
  3. Introduzca la cuenta de usuario con más privilegios descrita anteriormente.

    Aparecerá un mensaje de confirmación cuando el script se haya ejecutado correctamente.

  4. Inicie sesión en la consola de VMware Identity Manager con la cuenta de usuario original que estaba utilizando y configure el adaptador de autenticación Kerberos.

Acerca del script setupkerberos.bat

El script setupkerberos.bat realiza las siguientes tareas:

  1. Crea una cuenta de servicio con el mismo nombre que la cuenta de máquina (sin el símbolo $).
  2. Establece una contraseña aleatoria para la cuenta.
  3. Genera un archivo keytab para la cuenta, almacenado en /usr/horizon/conf.
  4. Asigna la entidad de seguridad predeterminada de la máquina como un SPN en la cuenta.