문제

VMware Identity Manager Connector를 설치하는 동안 IDM Connector 서비스를 도메인 사용자 계정으로 실행하시겠습니까? 옵션을 선택하지 않았거나, 이 옵션을 선택하고 Active Directory에서 “사용자 계정을 생성, 삭제 및 관리”할 권한이 없는 도메인 계정을 지정하면 설치 후에 Kerberos를 초기화할 수 없습니다. Kerberos 인증 어댑터를 구성하려고 하면 Kerberos 초기화 실패를 나타내는 오류 메시지가 표시됩니다.

솔루션

더 높은 권한을 가진 사용자 계정을 사용하여 setupkerberos.bat 스크립트를 실행합니다. 다음과 같은 계정을 사용합니다.

• 도메인 사용자
• Active Directory에서 “사용자 계정을 생성, 삭제 및 관리”할 권한이 있는 계정(관리자 및 계정 운영자 그룹의 구성원에게 해당 권한이 있음)
• VMware Identity Manager Connector가 설치되어 있는 Windows 서버에서 관리자 그룹에 속하는 계정

더 높은 권한을 갖는 이 사용자 계정은 스크립트를 일시적으로 실행하는 데만 필요하며 저장되거나 커넥터 서비스용으로 다시 사용되지 않습니다. 이 스크립트를 실행한 후에 사용 중인 원래 사용자 계정으로 Kerberos 인증 어댑터를 계속 구성할 수 있습니다.

스크립트를 실행하려면:

1. Windows 커넥터 시스템에 로그인하고 InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts 디렉토리로 이동합니다.
2. Setupkerberos.bat를를 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
3. 위에 설명된 더 높은 권한을 가진 사용자 계정을 입력합니다.

   스크립트가 성공적으로 실행된 후 확인 메시지가 표시됩니다.

4. 사용하고 있던 원래 사용자 계정으로 VMware Identity Manager 콘솔에 로그인하고 Kerberos 인증 어댑터를 구성합니다.

setupkerberos.bat 스크립트 정보

setupkerberos.bat 스크립트는 다음 작업을 수행합니다.

1. 시스템 계정과 동일한 이름을 가진 서비스 계정 생성($ 없음)
2. 계정에 대한 임의 암호 설정
3. /usr/horizon/conf에 저장되는 계정에 대한 키탭 파일 생성
4. 시스템의 지정된 주체를 계정 내의 SPN에 매핑