問題

VMware Identity Manager Connector のインストール中に、[ドメイン ユーザー アカウントとして IDM Connector サービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限のないドメイン アカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラー メッセージが表示されます。

ソリューション

より上位の権限を持つユーザー アカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件を満たすアカウントを使用します。

• ドメイン ユーザーである
• Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限を持っている（管理ユーザーおよびアカウント オペレータ グループのメンバーにはそれらの権限があります）
• VMware Identity Manager Connector がインストールされている Windows サーバ上の管理者グループに属している

より上位の権限を持つこのユーザー アカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタ サービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザー アカウントを使用して Kerberos 認証アダプタの構成を続けることができます。

スクリプトを実行するには：

1. Windows コネクタ マシンにログインし、InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts ディレクトリに移動します。
2. setupkerberos.bat を右クリックし、[管理者として実行] を選択します。
3. 上記で説明したより上位の権限を持つユーザー アカウントを入力します。

   スクリプトが正常に実行されると確認メッセージが表示されます。

4. 使用していた元のユーザー アカウントを使用して VMware Identity Manager コンソールにログインし、Kerberos 認証アダプタを構成します。

setupkerberos.bat スクリプトについて

setupkerberos.bat スクリプトは次のタスクを実行します。

1. （$ を除いて）マシン アカウントと同じ名前のサービス アカウントを作成する
2. アカウントにランダム パスワードを設定する
3. /usr/horizon/conf に保存されるアカウントのキータブ ファイルを生成する
4. マシンの特定のプリンシパルをアカウント内の SPN としてマッピングする