Kerberos 認証アダプタを構成すると、Kerberos の初期化に失敗したことを示すエラーが表示されます。
問題
VMware Identity Manager Connector のインストール中に、[ドメイン ユーザー アカウントとして IDM Connector サービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限のないドメイン アカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラー メッセージが表示されます。
ソリューション
より上位の権限を持つユーザー アカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件を満たすアカウントを使用します。
- ドメイン ユーザーである
- Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限を持っている(管理ユーザーおよびアカウント オペレータ グループのメンバーにはそれらの権限があります)
- VMware Identity Manager Connector がインストールされている Windows サーバ上の管理者グループに属している
より上位の権限を持つこのユーザー アカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタ サービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザー アカウントを使用して Kerberos 認証アダプタの構成を続けることができます。
スクリプトを実行するには:
- Windows コネクタ マシンにログインし、InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts ディレクトリに移動します。
- setupkerberos.bat を右クリックし、[管理者として実行] を選択します。
- 上記で説明したより上位の権限を持つユーザー アカウントを入力します。
スクリプトが正常に実行されると確認メッセージが表示されます。
- 使用していた元のユーザー アカウントを使用して VMware Identity Manager コンソールにログインし、Kerberos 認証アダプタを構成します。
setupkerberos.bat スクリプトについて
setupkerberos.bat スクリプトは次のタスクを実行します。
- ($ を除いて)マシン アカウントと同じ名前のサービス アカウントを作成する
- アカウントにランダム パスワードを設定する
- /usr/horizon/conf に保存されるアカウントのキータブ ファイルを生成する
- マシンの特定のプリンシパルをアカウント内の SPN としてマッピングする