Wanneer u de Kerberos-verificatieadapter configureert, wordt in een foutbericht gemeld dat Kerberos-initialisatie is mislukt.

Probleem

Als u tijdens het installeren van de VMware Identity Manager Connector de optie Wilt u de IDM Connector-service uitvoeren als een domeingebruikersaccount? niet heeft geselecteerd, of als u de wel optie heeft geselecteerd maar een domeinaccount heeft opgegeven dat geen rechten heeft om gebruikersaccounts te maken, te verwijderen en te beheren in Active Directory, kan Kerberos na de installatie niet worden geïnitialiseerd. Wanneer u probeert de Kerberos-verificatieadapter te configureren, wordt in een foutbericht gemeld dat de Kerberos-initialisatie is mislukt.

Oplossing

Voer het script setupkerberos.bat uit met een gebruikersaccount dat hogere rechten heeft. Gebruik een account dat:

  • Een domeingebruiker is

  • Het recht heeft om gebruikersaccounts te maken, te verwijderen en te beheren in Active Directory (leden van beheerders- en accountoperatorgroepen hebben die rechten)

  • Lid is van de beheerdersgroep op de Windows-server waarop de VMware Identity Manager Connector is geïnstalleerd

Dit gebruikersaccount met hogere rechten zal alleen tijdelijk worden vereist om het script uit te voeren en wordt niet opgeslagen of gebruikt voor connectorservices. Nadat u het script heeft uitgevoerd, kunt u doorgaan met het configureren van de Kerberos-verificatieadapter met het oorspronkelijke gebruikersaccount dat u gebruikte.

Het script uitvoeren:

  1. Meld u aan bij de Windows-connectormachine en ga naar de directory InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.

  2. Klik met de rechtermuisknop op setupkerberos.bat en selecteer Als administrator uitvoeren.

  3. Voer het gebruikersaccount met hogere rechten in dat hierboven is beschreven.

    Er wordt een bevestigingsbericht weergegeven nadat het script is uitgevoerd

  4. Meld u aan bij de VMware Identity Manager-console met het oorspronkelijke gebruikersaccount dat u gebruikte, en configureer de Kerberos-verificatieadapter.

Over het script setupkerberos.bat

Met het script setupkerberos.bat voert u de volgende taken uit:

  1. Een serviceaccount met dezelfde naam als het machineaccount (zonder de $) maken

  2. Een willekeurig wachtwoord voor het account instellen

  3. Een keytab-bestand voor het account genereren, opgeslagen in /usr/horizon/conf

  4. De opgegeven principal van de machine toewijzen als SPN binnen het account