Nadat de Kerberos-verificatieservice op de Workspace ONE Access Connector is geïnstalleerd, krijgt u een foutmelding die aangeeft dat de Kerberos-initialisatie is mislukt.

Probleem

Als u tijdens het installeren van de Kerberos-verificatieservice in de Workspace ONE Access Connector de optie Wilt u de Workspace ONE Access-services uitvoeren als domeingebruikersaccount? niet heeft geselecteerd, of als u de wel optie heeft geselecteerd maar een domeinaccount heeft opgegeven dat geen rechten heeft om gebruikersaccounts te maken, te verwijderen en te beheren in Active Directory, kan Kerberos na de installatie niet worden geïnitialiseerd. Wanneer u probeert de Kerberos-verificatieadapter te configureren, wordt in een foutbericht gemeld dat de Kerberos-initialisatie is mislukt.

Oplossing

Voer het script setupkerberos.bat uit met een gebruikersaccount dat hogere rechten heeft. Gebruik een account dat:

  • Een domeingebruiker is
  • Het recht heeft om gebruikersaccounts te maken, te verwijderen en te beheren in Active Directory (leden van beheerders- en accountoperatorgroepen hebben die rechten)
  • Lid is van de beheerdersgroep op de Windows-server waarop de Workspace ONE Access Connector is geïnstalleerd

Dit gebruikersaccount met hogere rechten wordt alleen tijdelijk vereist om het script uit te voeren en wordt niet opgeslagen of opnieuw gebruikt voor connectorservices. Nadat u het script heeft uitgevoerd, kunt u doorgaan met het configureren van de Kerberos-verificatiemethode met het oorspronkelijke gebruikersaccount dat u gebruikte.

Opmerking: Het script setupkerberos.bat ondersteunt de volgende speciale tekens in het wachtwoord van het domeingebruikersaccount:
! ( & % @ / = ? * , .

Het script uitvoeren:

  1. Meld u aan bij de Windows-machine van de connector en navigeer naar de directory InstallDir\Workspace_ONE_Access\Support\scripts.

    Voor 19.03-connectoren navigeert u naar de directory InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Klik met de rechtermuisknop op setupkerberos.bat en selecteer Als administrator uitvoeren.
  3. Voer het gebruikersaccount met hogere rechten in dat hierboven is beschreven.

    Er wordt een bevestigingsbericht weergegeven nadat het script is uitgevoerd.

  4. Meld u aan bij de Workspace ONE Access-console met het oorspronkelijke gebruikersaccount dat u gebruikte en configureer de Kerberos-verificatiemethode.

Over het script setupkerberos.bat

Wanneer Kerberos-verificatie is geïnstalleerd op de Workspace ONE Access Connector 20.01 of hoger, voert het script setupkerberos.bat de volgende taken uit:

  1. Een serviceaccount met dezelfde naam als het machineaccount (zonder de $) maken
  2. Een willekeurig wachtwoord voor het account instellen
  3. Een keytab-bestand wordt gegenereerd voor het account, standaard opgeslagen in InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.

    Voor Workspace ONE Access Connector 19.03 wordt het keytab-bestand voor het account opgeslagen in /usr/horizon/conf.

  4. De opgegeven principal van de machine toewijzen als SPN binnen het account