Workspace ONE Access Connector に Kerberos 認証サービスがインストールされると、Kerberos の初期化に失敗したことを示すエラーが表示されます。

問題

Workspace ONE Access Connector に Kerberos 認証サービスをインストールしている際に、[ドメイン ユーザー アカウントとして Workspace ONE Access サービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限のないドメイン アカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラー メッセージが表示されます。

ソリューション

より上位の権限を持つユーザー アカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件を満たすアカウントを使用します。

  • ドメイン ユーザーである
  • Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限を持っている(管理ユーザーおよびアカウント オペレータ グループのメンバーにはそれらの権限があります)
  • Workspace ONE Access Connector がインストールされている Windows サーバ上の管理者グループに属している

より上位の権限を持つこのユーザー アカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタ サービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザー アカウントを使用して Kerberos 認証方法の構成を続けることができます。

注: setupkerberos.bat スクリプトは、ドメイン ユーザー アカウントのパスワードで次の特殊文字を使用できます。
! ( & % @ / = ? * , .

スクリプトを実行するには:

  1. コネクタの Windows マシンにログインし、InstallDir\Workspace_ONE_Access \Support\scripts ディレクトリに移動します。

    19.03 コネクタの場合は、InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts ディレクトリに移動します。

  2. setupkerberos.bat を右クリックし、[管理者として実行] を選択します。
  3. 上記で説明したより上位の権限を持つユーザー アカウントを入力します。

    スクリプトが正常に実行されると確認メッセージが表示されます。

  4. 使用していた元のユーザー アカウントを使用して Workspace ONE Access コンソールにログインし、Kerberos 認証方法を構成します。

setupkerberos.bat スクリプトについて

Kerberos 認証が Workspace ONE Access Connector 20.01 以降にインストールされている場合、setupkerberos.bat スクリプトは次のタスクを実行します。

  1. $ を除いて)マシン アカウントと同じ名前のサービス アカウントを作成する
  2. アカウントにランダム パスワードを設定する
  3. アカウントのキータブ ファイルを生成します。デフォルトでは、InstallDir\Workspace ONE Access\Kerberos Auth Service\conf に保存されます。

    Workspace ONE Access Connector 19.03 の場合、アカウントのキータブ ファイルは /usr/horizon/conf に保存されます。

  4. マシンの所定のプリンシパルをアカウント内の SPN としてマッピングする