Kerberos 認証アダプタを構成すると、Kerberos の初期化に失敗したことを示すエラーが表示されます。

問題

VMware Identity Manager Connector のインストール中に、[ドメイン ユーザー アカウントとして IDM Connector サービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限のないドメイン アカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラー メッセージが表示されます。

ソリューション

より上位の権限を持つユーザー アカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件を満たすアカウントを使用します。

  • ドメイン ユーザーである
  • Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限を持っている(管理ユーザーおよびアカウント オペレータ グループのメンバーにはそれらの権限があります)
  • VMware Identity Manager Connector がインストールされている Windows サーバ上の管理者グループに属している

より上位の権限を持つこのユーザー アカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタ サービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザー アカウントを使用して Kerberos 認証アダプタの構成を続けることができます。

スクリプトを実行するには:

  1. Windows コネクタ マシンにログインし、InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts ディレクトリに移動します。
  2. setupkerberos.bat を右クリックし、[管理者として実行] を選択します。
  3. 上記で説明したより上位の権限を持つユーザー アカウントを入力します。

    スクリプトが正常に実行されると確認メッセージが表示されます。

  4. 使用していた元のユーザー アカウントを使用して VMware Identity Manager コンソールにログインし、Kerberos 認証アダプタを構成します。

setupkerberos.bat スクリプトについて

setupkerberos.bat スクリプトは次のタスクを実行します。

  1. $ を除いて)マシン アカウントと同じ名前のサービス アカウントを作成する
  2. アカウントにランダム パスワードを設定する
  3. /usr/horizon/conf に保存されるアカウントのキータブ ファイルを生成する
  4. マシンの特定のプリンシパルをアカウント内の SPN としてマッピングする