VMware Identity Manager Connectorで KerberosIdpAdapter を構成して有効にします。クラスタを展開して高可用性環境を構築している場合、クラスタのすべてのコネクタでこのアダプタを構成して有効にします。

重要:

クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を構成する必要があります。

Kerberos 認証アダプタの構成時に、VMware Identity Managerコネクタは自動的に Kerberos を初期化しようとします。VMware IDM コネクタ サービスが Kerberos の初期化に適切な権限で実行されていない場合、エラー メッセージが表示されます。この場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、スクリプトを実行し、Kerberos を初期化します。

Kerberos 認証の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

前提条件

  • VMware Identity Managerコネクタがインストールされている Windows マシンはドメインに参加する必要があります。

  • 管理者グループの一部であるドメイン ユーザーとして、コネクタがインストールされている Windows マシンに VMware Identity Manager Connector をインストールしておく必要があります。また Windows ドメイン ユーザーとして VMware IDM コネクタ サービスを実行している必要があります。

手順

  1. VMware Identity Manager管理コンソールで、[ID とアクセス管理] タブをクリックします。
  2. [セットアップ] をクリックし、[コネクタ] タブをクリックします。

    展開したすべてのコネクタが表示されます。

  3. コネクタのいずれかの [ワーカー] 列のリンクをクリックします。
  4. [認証アダプタ] タブをクリックします。
  5. [KerberosIdpAdapter] リンクをクリックし、アダプタを構成して有効にします。

    オプション

    説明

    名前

    アダプタのデフォルトの名前は、KerberosIdpAdapter です。この名前は変更できます。

    ディレクトリ UID 属性

    ユーザー名を含むアカウントの属性。

    Windows 認証を有効にする

    このオプションを選択します。

    リダイレクトを有効にする

    クラスタ内に複数のコネクタがあり、ロード バランサを使用して Kerberos の高可用性環境をセットアップする場合は、このオプションを選択し、[ホスト名をリダイレクト] に値を指定します。

    お使いの環境にコネクタが 1 つしかない場合は、[リダイレクトを有効にする] および [ホスト名をリダイレクト] オプションを使用する必要はありません。

    ホスト名をリダイレクト

    [リダイレクトを有効にする] オプションが選択されている場合は、値を指定する必要があります。コネクタのホスト名を入力します。たとえば、コネクタのホスト名が connector1.example.com である場合、テキスト ボックスに「connector1.example.com」と入力します。

    例:

    KerberosIdPAdapter の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

  6. [保存] をクリックします。
    注:

    Kerberos の初期化に失敗したというエラーが表示された場合は、Kerberos 初期化エラーを参照してください。スクリプトを実行した後、この画面に戻り、アダプタを構成します。

  7. クラスタを展開している場合、クラスタ内のすべてのコネクタで KerberosIdPAdapter を構成して有効にします。

    各コネクタに固有の [ホスト名をリダイレクト] の値を除き、アダプタをすべてのコネクタに対して同じように構成します。

次のタスク

  • KerberosIdpAdapter が有効になっている各コネクタに信頼される SSL 証明書があることを確認します。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

    信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

  • 必要に応じて、Kerberos 認証の高可用性をセットアップします。ロード バランサを使用しない場合、Kerberos 認証は高可用性になりません。