Workspace ONE Access Connector에서 Kerberos 인증 서비스가 설치된 후 Kerberos 초기화가 실패했다는 오류 메시지가 표시됩니다.

문제

Workspace ONE Access Connector에서 Kerberos 인증 서비스를 설치하는 동안 Workspace ONE Access 서비스를 도메인 사용자 계정으로 실행하시겠습니까? 옵션을 선택하지 않았거나, 이 옵션을 선택하고 Active Directory에서 “사용자 계정을 생성, 삭제 및 관리”할 권한이 없는 도메인 계정을 지정하면 설치 후에 Kerberos를 초기화할 수 없습니다. Kerberos 인증 어댑터를 구성하려고 하면 Kerberos 초기화 실패를 나타내는 오류 메시지가 표시됩니다.

솔루션

더 높은 권한을 가진 사용자 계정을 사용하여 setupkerberos.bat 스크립트를 실행합니다. 다음과 같은 계정을 사용합니다.

  • 도메인 사용자
  • Active Directory에서 “사용자 계정을 생성, 삭제 및 관리”할 권한이 있는 계정(관리자 및 계정 운영자 그룹의 구성원에게 해당 권한이 있음)
  • Workspace ONE Access Connector가 설치되어 있는 Windows 서버에서 관리자 그룹에 속하는 계정

더 높은 권한을 갖는 이 사용자 계정은 스크립트를 일시적으로 실행하는 데만 필요하며 저장되거나 커넥터 서비스용으로 다시 사용되지 않습니다. 이 스크립트를 실행한 후에 사용 중인 원래 사용자 계정으로 Kerberos 인증 방법을 계속 구성할 수 있습니다.

참고: setupkerberos.bat 스크립트는 도메인 사용자 계정 암호에서 다음과 같은 특수 문자를 지원합니다.
! ( & % @ / = ? * , . #

스크립트를 실행하려면:

  1. 커넥터 Windows 시스템에 로그인하고 InstallDir\Workspace_ONE_Access\Support\scripts 디렉토리로 이동합니다.
  2. Setupkerberos.bat를를 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.
  3. 위에 설명된 더 높은 권한을 가진 사용자 계정을 입력합니다.

    스크립트가 성공적으로 실행된 후 확인 메시지가 표시됩니다.

  4. 사용하고 있던 원래 사용자 계정으로 Workspace ONE Access 콘솔에 로그인하고 Kerberos 인증 방법을 구성합니다.

setupkerberos.bat 스크립트 정보

Kerberos 인증이 Workspace ONE Access Connector 20.01 이상에 설치된 경우 setupkerberos.bat 스크립트는 다음 작업을 수행합니다.

  1. 시스템 계정과 동일한 이름을 가진 서비스 계정 생성($ 없음)
  2. 계정에 대한 임의 암호 설정
  3. 기본적으로 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf에 저장된 계정에 대한 keytab 파일을 생성합니다.
  4. 시스템의 지정된 주체를 계정 내의 SPN에 매핑