Quando si configura l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Problema

Durante l'installazione di VMware Identity Manager Connector, se non si seleziona l'opzione Eseguire il servizio IDM Connector come account utente del dominio? o se si seleziona l'opzione ma si specifica un account di dominio che non dispone delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory, non è possibile inizializzare Kerberos dopo l'installazione. Quando si tenta di configurare l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Soluzione

Eseguire lo script setupkerberos.bat con un account utente che disponga di privilegi più elevati. Utilizzare un account che:

  • Sia un utente del dominio

  • Disponga delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory (i membri dei gruppi Admin Users e Account Operators hanno tali diritti)

  • Faccia parte del gruppo di amministratori nell'istanza di Windows Server in cui VMware Identity Manager Connector è installato

Questo account utente con privilegi più elevati è necessario solo temporaneamente per eseguire lo script e non verrà memorizzato o utilizzato di nuovo per i servizi del connettore. Dopo avere eseguito lo script, è possibile continuare a configurare l'adattatore dell'autenticazione Kerberos con l'account utente originale che si stava utilizzando.

Per eseguire lo script:

  1. Accedere al computer del connettore Windows e passare alla directory InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.

  2. Fare clic con il pulsante destro del mouse su setupkerberos.bat e selezionare Esegui come amministratore.

  3. Immettere l'account utente con privilegi più elevati come descritto in precedenza.

    Dopo che lo script è stato eseguito correttamente, viene visualizzato un messaggio di conferma.

  4. Accedere alla console di VMware Identity Manager con l'account utente originale che si stava utilizzando e configurare l'adattatore dell'autenticazione Kerberos.

Informazioni sullo script setupkerberos.bat

Lo script setupkerberos.bat esegue le seguenti attività:

  1. Consente di creare un account del servizio con lo stesso nome dell'account del computer (senza $)

  2. Imposta una password casuale per l'account

  3. Genera un file keytab per l'account, archiviato in /usr/horizon/conf

  4. Mappa l'entità della macchina specificata come un SPN all'interno dell'account