Una vez instalado el servicio de autenticación Kerberos en el Workspace ONE Access Connector, se produce un error que indica que se produjo un error en la inicialización de Kerberos.

Problema

Durante la instalación del servicio de autenticación Kerberos en el Workspace ONE Access Connector, si no seleccionó la opción ¿Desea ejecutar los servicios de Workspace ONE Access como una cuenta de usuario de dominio?, o si seleccionó la opción pero especificó una cuenta de dominio que no tiene el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory, Kerberos no se podrá inicializar después de la instalación. Cuando se intenta configurar el adaptador de autenticación Kerberos, se obtiene un mensaje de error que indica que no se pudo inicializar Kerberos.

Solución

Ejecute el script setupkerberos.bat con una cuenta de usuario que tenga más privilegios. Use una cuenta que:

  • Sea un usuario de dominio.
  • Tenga el derecho para "Crear, eliminar y administrar cuentas de usuario" en Active Directory (los miembros de los grupos Usuarios administradores y Operadores de cuenta tienen estos derechos).
  • Forme parte del grupo de administradores del servidor de Windows en el que esté instalado el Workspace ONE Access Connector.

Esta cuenta de usuario con más privilegios solo se requiere temporalmente para ejecutar el script, y no se almacena ni se vuelve a utilizar para los servicios del conector. Después de ejecutar el script, podrá continuar con la configuración del método de autenticación Kerberos con la cuenta de usuario original que estaba utilizando.

Para ejecutar el script:

  1. Inicie sesión en la máquina de Windows del conector y diríjase al directorio InstallDir\Workspace_ONE_Access\Support\scripts .
  2. Haga clic con el botón derecho en setupkerberos.bat y seleccione Ejecutar como administrador.
  3. Introduzca la cuenta de usuario con más privilegios descrita anteriormente.

    Aparecerá un mensaje de confirmación cuando el script se haya ejecutado correctamente.

  4. Inicie sesión en la consola de Workspace ONE Access con la cuenta de usuario original que estaba utilizando y configure el método de autenticación Kerberos.

Acerca del script setupkerberos.bat

El script setupkerberos.bat realiza las siguientes tareas:

  1. Crea una cuenta de servicio con el mismo nombre que la cuenta de máquina (sin el símbolo $).
  2. Establece una contraseña aleatoria para la cuenta.
  3. Genera un archivo keytab para la cuenta, almacenado en /usr/horizon/conf.
  4. Asigna la entidad de seguridad predeterminada de la máquina como un SPN en la cuenta.