Kerberos 認証アダプタの構成と有効化

VMware Identity Manager Connector で KerberosIdpAdapter を構成して有効にします。クラスタを展開して高可用性環境を構築している場合、クラスタのすべてのコネクタでこのアダプタを構成して有効にします。

このタスクについて

重要:

クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を構成する必要があります。

Kerberos 認証アダプタの構成時に、VMware Identity Manager コネクタは自動的に Kerberos を初期化しようとします。VMware IDM コネクタサービスが Kerberos の初期化に適切な権限で実行されていない場合、エラーメッセージが表示されます。この場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、スクリプトを実行し、Kerberos を初期化します。

Kerberos 認証の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

前提条件

VMware Identity Manager コネクタがインストールされている Windows マシンはドメインに参加する必要があります。
管理者グループの一部であるドメインユーザーとして VMware Identity Manager Connector コンポーネントを Windows マシンにインストールしておく必要があり、Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

手順

VMware Identity Manager 管理コンソールで、ID とアクセス管理タブをクリックします。
セットアップをクリックし、コネクタタブをクリックします。

展開したすべてのコネクタが表示されます。
コネクタのいずれかのワーカー列のリンクをクリックします。
認証アダプタタブをクリックします。

[KerberosIdpAdapter] リンクをクリックし、アダプタを構成して有効にします。

オプション	説明
名前	アダプタのデフォルトの名前は、KerberosIdpAdapter です。この名前は変更できます。
ディレクトリ UID 属性	ユーザー名を含むアカウントの属性。
Windows 認証を有効にする	このオプションを選択します。
リダイレクトを有効にする	クラスタ内に複数のコネクタがあり、ロードバランサを使用して Kerberos の高可用性環境をセットアップする場合は、このオプションを選択し、ホスト名をリダイレクトに値を指定します。お使いの環境にコネクタが 1 つしかない場合は、リダイレクトを有効にするおよびホスト名をリダイレクトオプションを使用する必要はありません。
ホスト名をリダイレクト	リダイレクトを有効にするオプションが選択されている場合は、値を指定する必要があります。コネクタのホスト名を入力します。たとえば、コネクタのホスト名が connector1.example.com である場合、テキストボックスに「`connector1.example.com`」と入力します。

例：

KerberosIdPAdapter の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

保存をクリックします。

注:
Kerberos の初期化が失敗したことを示すエラーが表示される場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、Kerberos 初期化スクリプトを手動で実行してから、このページに戻り、アダプタを構成します。
クラスタを展開している場合、クラスタ内のすべてのコネクタで KerberosIdPAdapter を構成して有効にします。

各コネクタに固有の [ホスト名をリダイレクト] の値を除き、アダプタをすべてのコネクタに対して同じように構成します。

次のタスク

KerberosIdpAdapter が有効になっている各コネクタに信頼される SSL 証明書があることを確認します。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。
信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。
必要に応じて、Kerberos 認証の高可用性をセットアップします。ロードバランサを使用しない場合、Kerberos 認証は高可用性になりません。