Configurare e abilitare KerberosIdpAdapter in VMware Identity Manager Connector. Se è stato distribuito un cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster.

Importante: Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione.

Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guida all'amministrazione di VMware Identity Manager.

Prerequisiti

  • Il connettore deve essere aggiunto al dominio di Active Directory.
  • Il nome host del connettore deve corrispondere al dominio Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com.

    Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni.

Procedura

  1. Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.
  2. Fare clic su Configura, quindi sulla scheda Connettori.
    Sono elencati tutti i connettori distribuiti.
  3. Fare clic sul collegamento nella colonna Worker di uno dei connettori.
  4. Fare clic sulla scheda Adattatori autenticazione.
  5. Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore.
    Opzione Descrizione
    Nome Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibile modificarlo.
    Attributo UID di directory Attributo dell'account che contiene il nome utente.
    Abilita autenticazione di Windows Selezionare questa opzione.
    Abilita NTLM Non è necessario selezionare questa opzione a meno che l'infrastruttura di Active Directory non si basi sull'autenticazione NTLM.
    Nota: Questa opzione è supportata solo su VMware Identity Manager basato su Linux.
    Abilita reindirizzamento Se si dispone di più connettori in un cluster e si intende configurare la disponibilità elevata di Kerberos utilizzando un programma di bilanciamento del carico, selezionare questa opzione e specificare un valore per Reindirizza nome host.

    Se la distribuzione include un solo connettore, non è necessario utilizzare le opzioni Attiva reindirizzamento e Reindirizza nome host.

    Reindirizza nome host È necessario specificare un valore se è selezionata l'opzione Attiva reindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nome host del connettore è connector1.esempio.com, immettere connector1.esempio.com nella casella di testo.
    Ad esempio:
    Schermata di Linux per l'adattatore Kerberos

    Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guida all'amministrazione di VMware Identity Manager.
  6. Fare clic su Salva.
  7. Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster.
    Assicurarsi di configurare l'adattatore in modo identico in tutti i connettori, tranne che per il valore di Reindirizza nome Host, che deve essere specifico per ogni connettore.

Operazioni successive

  • Verificare che ogni connettore su cui è abilitato KerberosIdpAdapter disponga di un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati.

    Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità.

  • Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, è necessario utilizzare un programma di bilanciamento del carico.