Configurare e abilitare KerberosIdpAdapter in VMware Identity Manager Connector. Se è stato distribuito un cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster.

Importante:

Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione.

Quando si configura l'adattatore di autenticazione Kerberos, VMware Identity Manager Connector tenta di inizializzare Kerberos automaticamente. Se il servizio VMware IDM Connector non viene eseguito con privilegi sufficienti per inizializzare Kerberos, viene visualizzato un messaggio di errore. In questo caso, seguire le istruzioni disponibili in http://kb.vmware.com/kb/2149753 per eseguire uno script per inizializzare Kerberos.

Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guida all'amministrazione di VMware Identity Manager.

Prerequisiti

  • Il computer Windows in cui VMware Identity Manager Connector è installato deve appartenere al dominio.

  • È necessario installare il componente VMware Identity Manager Connector come utente del dominio che fa parte del gruppo di amministratori del computer Windows in cui è installato il connettore ed eseguire il servizio VMware IDM Connector come utente del dominio Windows.

Procedura

  1. Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.
  2. Fare clic su Configura, quindi sulla scheda Connettori.

    Sono elencati tutti i connettori distribuiti.

  3. Fare clic sul collegamento nella colonna Worker di uno dei connettori.
  4. Fare clic sulla scheda Adattatori autenticazione.
  5. Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore.

    Opzione

    Descrizione

    Nome

    Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibile modificarlo.

    Attributo UID di directory

    Attributo dell'account che contiene il nome utente.

    Abilita autenticazione di Windows

    Selezionare questa opzione.

    Abilita reindirizzamento

    Se si dispone di più connettori in un cluster e si intende configurare la disponibilità elevata di Kerberos utilizzando un programma di bilanciamento del carico, selezionare questa opzione e specificare un valore per Reindirizza nome host.

    Se la distribuzione include un solo connettore, non è necessario utilizzare le opzioni Attiva reindirizzamento e Reindirizza nome host.

    Reindirizza nome host

    È necessario specificare un valore se è selezionata l'opzione Attiva reindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nome host del connettore è connector1.esempio.com, immettere connector1.esempio.com nella casella di testo.

    Ad esempio:

    Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guida all'amministrazione di VMware Identity Manager.

  6. Fare clic su Salva.
    Nota:

    Se viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita, vedere Errore di inizializzazione di Kerberos. Dopo avere eseguito lo script, tornare in questa pagina e configurare l'adattatore.

  7. Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster.

    Assicurarsi di configurare l'adattatore in modo identico in tutti i connettori, tranne che per il valore di Reindirizza nome Host, che deve essere specifico per ogni connettore.

Operazioni successive

  • Verificare che ogni connettore su cui è abilitato KerberosIdpAdapter disponga di un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati.

    Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità.

  • Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, è necessario utilizzare un programma di bilanciamento del carico.