При настройке адаптера проверки подлинности Kerberos появляется сообщение об ошибке инициализации Kerberos.

Проблема

Если при установке VMware Identity Manager Connector не выбран параметр Запустить службу IDM Connector под учетной записью пользователя домена? или указана учетная запись домена без права на «Создание, удаление и управление учетными записями пользователей» в Active Directory, то после установки невозможно инициализировать Kerberos. При попытке настроить адаптер проверки подлинности Kerberos появляется сообщение об ошибке инициализации Kerberos.

Решение

Запустите сценарий setupkerberos.bat под учетной записью пользователя с более высокими правами. Используйте учетную запись, которая:

  • принадлежит пользователю домена;

  • имеет право на «Создание, удаление и управление учетными записями пользователей» в Active Directory (эти права имеют члены групп «Администраторы» и «Операторы»);

  • входит в группу администраторов на сервере Windows, где установлен VMware Identity Manager Connector.

Учетная запись пользователя с более высокими правами требуется только для запуска сценария, она не будет храниться и повторно использоваться для служб соединителя. После запуска сценария можно продолжить настройку адаптера проверки подлинности Kerberos под исходной учетной записью пользователя, которая использовалась ранее.

Запуск сценария:

  1. Войдите на компьютер с установленным соединителем Windows и перейдите в каталог InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts.

  2. Щелкните правой кнопкой мыши файл setupkerberos.bat и выберите Запуск от имени администратора.

  3. Введите учетную запись пользователя с более высокими правами, как описано выше.

    После успешного выполнения сценария появится подтверждающее сообщение.

  4. Войдите в консоль VMware Identity Manager под исходной учетной записью пользователя и настройте адаптер проверки подлинности Kerberos.

Сведения о сценарии setupkerberos.bat

Сценарий setupkerberos.bat выполняет следующие задачи.

  1. Создает учетную запись службы с таким же именем, как у учетной записи компьютера (без $)

  2. Задает случайный пароль для учетной записи

  3. Создает keytab-файл для учетной записи, который хранится в каталоге /usr/horizon/conf

  4. Сопоставляет данный субъект компьютера как имя субъекта-службы в учетной записи