Une fois le service d'authentification Kerberos installé sur Workspace ONE Access Connector, une erreur s'affiche et indique l'échec de l'initialisation de Kerberos.

Problème

Lors de l'installation du service d'authentification Kerberos dans Workspace ONE Access Connector, si vous n'avez pas sélectionné l'option Voulez-vous exécuter les services Workspace ONE Access en tant que compte d'utilisateur de domaine ? ou si vous avez sélectionné l'option, mais que vous avez spécifié un compte de domaine ne disposant pas des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory, Kerberos ne peut pas être initialisé après l'installation. Lorsque vous essayez de configurer l'adaptateur d'authentification Kerberos, vous obtenez un message d'erreur indiquant que l'initialisation de Kerberos a échoué.

Solution

Exécutez le script setupkerberos.bat avec un compte d'utilisateur disposant de privilèges plus élevés. Utilisez un compte qui :

  • Soit un utilisateur de domaine
  • Dispose des droits « Créer, supprimer et gérer des comptes d'utilisateurs » dans Active Directory (les membres des groupes Utilisateurs Administrateur et Opérateurs de compte détiennent ces droits)
  • Fait partie du groupe d'administrateurs sur le serveur Windows sur lequel Workspace ONE Access Connector est installé

Ce compte d'utilisateur avec des privilèges plus élevés n'est nécessaire qu'à titre temporaire pour exécuter le script. Il n'est pas stocké ou réutilisé pour les services de connecteur. Après avoir exécuté le script, vous pouvez poursuivre la configuration de la méthode d'authentification Kerberos avec le compte d'utilisateur d'origine que vous utilisiez.

Pour exécuter le script :

  1. Connectez-vous à la machine Windows du connecteur et accédez au répertoire InstallDir\Workspace_ONE_Access\Support\scripts.

    Pour les instances de Connector 19.03, accédez au répertoire InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Cliquez avec le bouton droit sur setupkerberos.bat et sélectionnez Exécuter en tant qu'administrateur.
  3. Entrez le compte d'utilisateur disposant de privilèges plus élevés décrit ci-dessus.

    Un message de confirmation s'affiche après l'exécution du script.

  4. Connectez-vous à la console Workspace ONE Access avec le compte d'utilisateur d'origine que vous utilisiez, puis configurez la méthode d'authentification Kerberos.

À propos du script setupkerberos.bat

Lorsque l'authentification Kerberos est installée sur Workspace ONE Access Connector 20.01 ou version ultérieure, le script setupkerberos.bat effectue les tâches suivantes :

  1. Création d'un compte de service ayant le même nom que le compte de la machine (sans le symbole $)
  2. Définition d'un mot de passe aléatoire pour le compte
  3. Génère un fichier keytab pour le compte, stocké par défaut dans InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.

    Pour Workspace ONE Access Connector 19.03, le fichier keytab du compte est stocké dans /usr/horizon/conf.

  4. Mappage du principal donné de la machine en tant que SPN à l'intérieur du compte