Quando si configura l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.
Problema
Durante l'installazione di VMware Identity Manager Connector, se non si seleziona l'opzione Eseguire il servizio IDM Connector come account utente del dominio? o se si seleziona l'opzione ma si specifica un account di dominio che non dispone delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory, non è possibile inizializzare Kerberos dopo l'installazione. Quando si tenta di configurare l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.
Soluzione
Eseguire lo script setupkerberos.bat con un account utente che disponga di privilegi più elevati. Utilizzare un account che:
Sia un utente del dominio
Disponga delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory (i membri dei gruppi Admin Users e Account Operators hanno tali diritti)
Faccia parte del gruppo di amministratori nell'istanza di Windows Server in cui VMware Identity Manager Connector è installato
Questo account utente con privilegi più elevati è necessario solo temporaneamente per eseguire lo script e non verrà memorizzato o utilizzato di nuovo per i servizi del connettore. Dopo avere eseguito lo script, è possibile continuare a configurare l'adattatore dell'autenticazione Kerberos con l'account utente originale che si stava utilizzando.
Per eseguire lo script:
Accedere al computer del connettore Windows e passare alla directory InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.
Fare clic con il pulsante destro del mouse su setupkerberos.bat e selezionare Esegui come amministratore.
Immettere l'account utente con privilegi più elevati come descritto in precedenza.
Dopo che lo script è stato eseguito correttamente, viene visualizzato un messaggio di conferma.
Accedere alla console di VMware Identity Manager con l'account utente originale che si stava utilizzando e configurare l'adattatore dell'autenticazione Kerberos.
Informazioni sullo script setupkerberos.bat
Lo script setupkerberos.bat esegue le seguenti attività:
Consente di creare un account del servizio con lo stesso nome dell'account del computer (senza $)
Imposta una password casuale per l'account
Genera un file keytab per l'account, archiviato in /usr/horizon/conf
Mappa l'entità della macchina specificata come un SPN all'interno dell'account