Lorsque vous configurez l'adaptateur d'authentification Kerberos, vous obtenez une erreur indiquant que l'initialisation de Kerberos a échoué.

Problème

Lors de l'installation de VMware Identity Manager Connector, si vous n'avez pas sélectionné l'option Voulez-vous exécuter le service IDM Connector en tant que compte d'utilisateur de domaine ? ou si vous avez sélectionné l'option, mais que vous avez spécifié un compte de domaine ne disposant pas des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory, Kerberos ne peut pas être initialisé après l'installation. Lorsque vous essayez de configurer l'adaptateur d'authentification Kerberos, vous obtenez un message d'erreur indiquant que l'initialisation de Kerberos a échoué.

Solution

Exécutez le script setupkerberos.bat avec un compte d'utilisateur disposant de privilèges plus élevés. Utilisez un compte qui :

  • Soit un utilisateur de domaine
  • Dispose des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory (les membres des groupes Utilisateurs Administrateur et Opérateurs de compte détiennent ces droits)
  • Fasse partie du groupe d'administrateurs sur le serveur Windows où le connecteur VMware Identity Manager est installé

Ce compte d'utilisateur avec des privilèges plus élevés n'est nécessaire qu'à titre temporaire pour exécuter le script. Il ne sera pas stocké ou réutilisé pour les services de connecteur. Après avoir exécuté le script, vous pouvez poursuivre la configuration de l'adaptateur d'authentification Kerberos avec le compte d'utilisateur d'origine que vous utilisiez.

Pour exécuter le script :

  1. Connectez-vous à la machine du connecteur Windows et accédez au répertoire InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.
  2. Cliquez avec le bouton droit sur setupkerberos.bat et sélectionnez Exécuter en tant qu'administrateur.
  3. Entrez le compte d'utilisateur disposant de privilèges plus élevés décrit ci-dessus.

    Un message de confirmation s'affiche une fois le script exécuté correctement

  4. Connectez-vous à la console VMware Identity Manager avec le compte d'utilisateur d'origine que vous utilisiez, puis configurez l'adaptateur d'authentification Kerberos.

À propos du script setupkerberos.bat

Le script setupkerberos.bat effectue les tâches suivantes :

  1. Création d'un compte de service ayant le même nom que le compte de la machine (sans le symbole $)
  2. Définition d'un mot de passe aléatoire pour le compte
  3. Génération d'un fichier keytab pour le compte, stocké dans /usr/horizon/conf
  4. Mappage du principal donné de la machine en tant que SPN à l'intérieur du compte