Configurez et activez KerberosIdpAdapter sur le connecteur VMware Identity Manager Connector. Si vous avez déployé un cluster pour la haute disponibilité, configurez et activez l'adaptateur sur tous les connecteurs dans votre cluster.

Important:

Les adaptateurs d'authentification sur tous les connecteurs de votre cluster doivent être configurés de la même manière. Les mêmes méthodes d'authentification doivent être configurées sur tous les connecteurs.

Pour plus d'informations sur la configuration de l'authentification Kerberos, consultez le Guide d'administration de VMware Identity Manager.

Conditions préalables

  • Le connecteur doit être joint au domaine Active Directory.

  • Le nom d'hôte du connecteur doit correspondre au domaine Active Directory auquel le connecteur est joint. Par exemple, si le domaine Active Directory est sales.example.com, le nom d'hôte du connecteur doit être connectorhost.sales.example.com.

    Si vous ne pouvez pas attribuer un nom d'hôte qui correspond à la structure de domaine Active Directory, vous devez configurer manuellement le connecteur et Active Directory. Consultez la base de connaissances pour plus d'informations.

Procédure

  1. Dans la console d'administration de VMware Identity Manager, cliquez sur l'onglet Identité et gestion de l'accès.
  2. Cliquez sur Configuration, puis sur l'onglet Connecteurs.

    Tous les connecteurs que vous avez déployés sont répertoriés.

  3. Cliquez sur le lien dans la colonne Travailleur de l'un des connecteurs.
  4. Cliquez sur l'onglet Adaptateurs d'authentification.
  5. Cliquez sur le lien KerberosIdpAdapter, puis configurez et activez l'adaptateur.

    Option

    Description

    Nom

    Le nom par défaut de l'adaptateur est KerberosIdpAdapter. Vous pouvez modifier ce nom.

    Attribut UID du répertoire

    Attribut de compte qui contient le nom d'utilisateur.

    Activer l'authentification Windows

    Sélectionnez cette option.

    Activer NTLM

    Vous n'avez pas besoin de sélectionner cette option, sauf si votre infrastructure Active Directory repose sur l'authentification NTLM.

    Note:

    Cette option n'est prise en charge que sur VMware Identity Manager basé sur Linux.

    Activer la redirection

    Si vous disposez de plusieurs connecteurs dans un cluster et que vous prévoyez de configurer la haute disponibilité Kerberos en utilisant un équilibrage de charge, sélectionnez cette option et spécifiez une valeur pour Nom d'hôte de redirection.

    Si votre déploiement ne contient qu'un seul connecteur, vous n'avez pas besoin d'utiliser les options Activer la redirection et Nom d'hôte de redirection.

    Nom d'hôte de redirection

    Une valeur est requise si l'option Activer la redirection est sélectionnée. Entrez le nom d'hôte du connecteur. Par exemple, si le nom d’hôte du connecteur est connector1.example.com, entrez connector1.example.com dans la zone de texte.
    Par exemple :

    Linux screeshot pour l’adaptateur Kerberos


    Pour plus d'informations sur la configuration de KerberosIdPAdapter, consultez le Guide d'administration de VMware Identity Manager.

  6. Cliquez sur Enregistrer.
  7. Si vous avez déployé un cluster, configurez KerberosIdPAdapter sur tous les connecteurs de votre cluster.

    Assurez-vous que vous configurez l'adaptateur de la même façon sur tous les connecteurs, sauf la valeur Nom d'hôte de redirection, qui doit être spécifique à chaque connecteur.

Que faire ensuite

  • Vérifiez que chaque connecteur sur lequel KerberosIdpAdapter est activé dispose d'un certificat SSL approuvé. Vous pouvez obtenir le certificat auprès de votre autorité de certification interne. L'authentification Kerberos ne fonctionne pas avec les certificats auto-signés.

    Des certificats SSL approuvés sont requis, que vous activiez Kerberos sur un connecteur unique ou sur plusieurs connecteurs pour la haute disponibilité.

  • Configurez la haute disponibilité pour l'authentification Kerberos, si nécessaire. L'authentification Kerberos n'est pas hautement disponible sans équilibrage de charge.