Una vez instalado el servicio de autenticación Kerberos en el Workspace ONE Access Connector, se produce un error que indica que se produjo un error en la inicialización de Kerberos.

Problema

Durante la instalación del servicio de autenticación Kerberos, si no seleccionó la opción ¿Desea ejecutar los servicios de Workspace ONE Access como una cuenta de usuario de dominio?, o si seleccionó la opción pero especificó una cuenta de dominio que no tiene el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory, Kerberos no se podrá inicializar después de la instalación. Cuando intenta configurar el método de autenticación Kerberos, recibe un mensaje de error que indica que la inicialización de Kerberos falló.

Solución

Ejecute el script setupkerberos.bat con una cuenta de usuario que tenga más privilegios. Use una cuenta que:

  • Sea un usuario de dominio.
  • Tenga el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory (los miembros de los grupos Usuarios administradores y Operadores de cuenta tienen estos derechos).
  • Forme parte del grupo de administradores del servidor de Windows en el que esté instalado el Workspace ONE Access Connector.

Esta cuenta de usuario con más privilegios solo se requiere temporalmente para ejecutar el script, y no se almacena ni se vuelve a utilizar para los servicios del conector. Después de ejecutar el script, podrá continuar con la configuración del método de autenticación Kerberos con la cuenta de usuario original que estaba utilizando.

Nota: El script setupkerberos.bat solo admite los siguientes caracteres especiales en la contraseña de la cuenta de usuario del dominio: 
! ( & % @ / = ? * , .

Para ejecutar el script:

  1. Inicie sesión en el servidor del conector y vaya al directorio InstallDir\Workspace_ONE_Access\Support\scripts.
  2. Haga clic con el botón derecho en setupkerberos.bat y seleccione Ejecutar como administrador.
  3. Introduzca la cuenta de usuario que tenga más privilegios.

    Aparecerá un mensaje de confirmación cuando el script se haya ejecutado correctamente.

  4. Inicie sesión en la consola de Workspace ONE Access con la cuenta de usuario original que estaba utilizando y configure el método de autenticación Kerberos.

Acerca del script setupkerberos.bat

El script setupkerberos.bat realiza las siguientes tareas:

  1. Crea una cuenta de servicio con el mismo nombre que la cuenta de la máquina (sin $).
  2. Establece una contraseña aleatoria para la cuenta.
  3. Genera un archivo keytab para la cuenta que se almacena de forma predeterminada en InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.
  4. Asigna el principal determinado de la máquina como un SPN dentro de la cuenta.