Une fois le service d'authentification Kerberos installé sur Workspace ONE Access Connector, une erreur s'affiche et indique l'échec de l'initialisation de Kerberos.

Problème

Lors de l'installation du service d'authentification Kerberos, si vous n'avez pas sélectionné l'option Voulez-vous exécuter les services Workspace ONE Access en tant que compte d'utilisateur de domaine ? ou si vous avez sélectionné l'option, mais que vous avez spécifié un compte de domaine ne disposant pas des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory, Kerberos ne peut pas être initialisé après l'installation. Lorsque vous essayez de configurer la méthode d'authentification Kerberos, vous obtenez un message d'erreur indiquant que l'initialisation de Kerberos a échoué.

Solution

Exécutez le script setupkerberos.bat avec un compte d'utilisateur disposant de privilèges plus élevés. Utilisez un compte qui :

  • Soit un utilisateur de domaine
  • Dispose des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory (les membres des groupes Utilisateurs Administrateur et Opérateurs de compte détiennent ces droits)
  • Fait partie du groupe d'administrateurs sur le serveur Windows sur lequel Workspace ONE Access Connector est installé

Ce compte d'utilisateur avec des privilèges plus élevés n'est nécessaire qu'à titre temporaire pour exécuter le script. Il n'est pas stocké ou réutilisé pour les services de connecteur. Après avoir exécuté le script, vous pouvez poursuivre la configuration de la méthode d'authentification Kerberos avec le compte d'utilisateur d'origine que vous utilisiez.

Note : Le script setupkerberos.bat ne prend en charge que les caractères spéciaux suivants dans le mot de passe du compte d'utilisateur de domaine :
! ( & % @ / = ? * , .

Pour exécuter le script :

  1. Connectez-vous au serveur du connecteur et accédez au répertoire InstallDir\Workspace_ONE_Access\Support\scripts.
  2. Cliquez avec le bouton droit sur setupkerberos.bat et sélectionnez Exécuter en tant qu'administrateur.
  3. Entrez le compte d'utilisateur qui dispose de privilèges plus élevés.

    Un message de confirmation s'affiche après l'exécution du script.

  4. Connectez-vous à la console Workspace ONE Access avec le compte d'utilisateur d'origine que vous utilisiez, puis configurez la méthode d'authentification Kerberos.

À propos du script setupkerberos.bat

Le script setupkerberos.bat effectue les tâches suivantes :

  1. Création d'un compte de service ayant le même nom que le compte de la machine (sans le symbole $).
  2. Définit un mot de passe aléatoire pour le compte.
  3. Génère un fichier keytab pour le compte, stocké par défaut dans InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.
  4. Mappe le principal donné de la machine en tant que SPN dans le compte.