Dopo aver installato il servizio di autenticazione Kerberos in Workspace ONE Access Connector, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Problema

Durante l'installazione del servizio di autenticazione Kerberos in Workspace ONE Access Connector, se non si seleziona l'opzione Eseguire i servizi di Workspace ONE Access come account utente del dominio? o se si seleziona l'opzione ma si specifica un account di dominio che non dispone delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory, non è possibile inizializzare Kerberos dopo l'installazione. Quando si tenta di configurare l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Soluzione

Eseguire lo script setupkerberos.bat con un account utente che disponga di privilegi più elevati. Utilizzare un account che:

  • Sia un utente del dominio
  • Disponga delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory (i membri dei gruppi Admin Users e Account Operators hanno tali diritti)
  • Faccia parte del gruppo di amministratori nell'istanza di Windows Server in cui Workspace ONE Access Connector è installato

Questo account utente con privilegi avanzati è necessario solo temporaneamente per eseguire lo script e non viene memorizzato o utilizzato di nuovo per i servizi del connettore. Dopo aver eseguito lo script, è possibile continuare a configurare il metodo di autenticazione Kerberos con l'account utente originale che si stava utilizzando in precedenza.

Per eseguire lo script:

  1. Accedere alla macchina Windows del connettore e passare alla directory InstallDir\Workspace_ONE_Access\Support\scripts.
  2. Fare clic con il pulsante destro del mouse su setupkerberos.bat e selezionare Esegui come amministratore.
  3. Immettere l'account utente con privilegi più elevati come descritto in precedenza.

    Dopo che lo script è stato eseguito correttamente, viene visualizzato un messaggio di conferma.

  4. Accedere alla console di Workspace ONE Access con l'account utente originale che si stava utilizzando in precedenza e configurare il metodo di autenticazione Kerberos.

Informazioni sullo script setupkerberos.bat

Lo script setupkerberos.bat esegue le seguenti attività:

  1. Consente di creare un account del servizio con lo stesso nome dell'account del computer (senza $)
  2. Imposta una password casuale per l'account
  3. Genera un file keytab per l'account, archiviato in /usr/horizon/conf
  4. Mappa l'entità della macchina specificata come un SPN all'interno dell'account