Dopo aver installato il servizio di autenticazione Kerberos in Workspace ONE Access Connector, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Problema

Durante l'installazione del servizio di autenticazione Kerberos in Workspace ONE Access Connector, se non si seleziona l'opzione Eseguire i servizi di Workspace ONE Access come account utente del dominio? o se si seleziona l'opzione ma si specifica un account di dominio che non dispone delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory, non è possibile inizializzare Kerberos dopo l'installazione. Quando si tenta di configurare l'adattatore dell'autenticazione Kerberos, viene visualizzato un messaggio di errore che indica che l'inizializzazione di Kerberos non è riuscita.

Soluzione

Eseguire lo script setupkerberos.bat con un account utente che disponga di privilegi più elevati. Utilizzare un account che:

  • Sia un utente del dominio
  • Disponga delle autorizzazioni per creare, eliminare e gestire gli account utente in Active Directory (i membri dei gruppi Admin Users e Account Operators hanno tali diritti)
  • Faccia parte del gruppo di amministratori nell'istanza di Windows Server in cui Workspace ONE Access Connector è installato

Questo account utente con privilegi avanzati è necessario solo temporaneamente per eseguire lo script e non viene memorizzato o utilizzato di nuovo per i servizi del connettore. Dopo aver eseguito lo script, è possibile continuare a configurare il metodo di autenticazione Kerberos con l'account utente originale che si stava utilizzando in precedenza.

Nota: Lo script setupkerberos.bat supporta i seguenti caratteri speciali nella password dell'account utente del dominio: 
! ( & % @ / = ? * , .

Per eseguire lo script:

  1. Accedere alla macchina Windows del connettore e passare alla directory InstallDir\Workspace_ONE_Access\Support\scripts.

    Per i connettori 19.03, passare alla directory InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Fare clic con il pulsante destro del mouse su setupkerberos.bat e selezionare Esegui come amministratore.
  3. Immettere l'account utente con privilegi più elevati come descritto in precedenza.

    Dopo che lo script è stato eseguito correttamente, viene visualizzato un messaggio di conferma.

  4. Accedere alla console di Workspace ONE Access con l'account utente originale che si stava utilizzando in precedenza e configurare il metodo di autenticazione Kerberos.

Informazioni sullo script setupkerberos.bat

Quando l'autenticazione Kerberos è installata su Workspace ONE Access Connector versione 20.01 o successiva, lo script setupkerberos.bat esegue le attività seguenti:

  1. Consente di creare un account del servizio con lo stesso nome dell'account del computer (senza $)
  2. Imposta una password casuale per l'account
  3. Genera un file keytab per l'account, per impostazione predefinita archiviato in InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.

    Per Workspace ONE Access Connector 19.03, il file keytab per l'account viene archiviato in /usr/horizon/conf.

  4. Mappa l'entità della macchina specificata come un SPN all'interno dell'account