問題

Workspace ONE Access Connector に Kerberos 認証サービスをインストールしている際に、[ドメイン ユーザー アカウントとして Workspace ONE Access サービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限のないドメイン アカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラー メッセージが表示されます。

ソリューション

より上位の権限を持つユーザー アカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件を満たすアカウントを使用します。

• ドメイン ユーザーである
• Active Directory で「ユーザー アカウントを作成、削除、および管理」する権限を持っている（管理ユーザーおよびアカウント オペレータ グループのメンバーにはそれらの権限があります）
• Workspace ONE Access Connector がインストールされている Windows サーバ上の管理者グループに属している

より上位の権限を持つこのユーザー アカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタ サービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザー アカウントを使用して Kerberos 認証方法の構成を続けることができます。

! ( & % @ / = ? * , .

スクリプトを実行するには：

1. コネクタの Windows マシンにログインし、InstallDir\Workspace_ONE_Access \Support\scripts ディレクトリに移動します。

   19.03 コネクタの場合は、InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts ディレクトリに移動します。

2. setupkerberos.bat を右クリックし、[管理者として実行] を選択します。
3. 上記で説明したより上位の権限を持つユーザー アカウントを入力します。

   スクリプトが正常に実行されると確認メッセージが表示されます。

4. 使用していた元のユーザー アカウントを使用して Workspace ONE Access コンソールにログインし、Kerberos 認証方法を構成します。

setupkerberos.bat スクリプトについて

Kerberos 認証が Workspace ONE Access Connector 20.01 以降にインストールされている場合、setupkerberos.bat スクリプトは次のタスクを実行します。

1. （$ を除いて）マシン アカウントと同じ名前のサービス アカウントを作成する
2. アカウントにランダム パスワードを設定する
3. アカウントのキータブ ファイルを生成します。デフォルトでは、InstallDir\Workspace ONE Access\Kerberos Auth Service\conf に保存されます。

   Workspace ONE Access Connector 19.03 の場合、アカウントのキータブ ファイルは /usr/horizon/conf に保存されます。

4. マシンの所定のプリンシパルをアカウント内の SPN としてマッピングする