На VMware Identity Manager Connector настройте и включите KerberosIdpAdapter. При развертывании кластера для обеспечения высокой доступности адаптер следует настроить и включить на всех входящих в него соединителях.

Важно!: Адаптеры проверки подлинности должны быть настроены одинаково на всех соединителях в кластере. Кроме того, на всех соединителях должны быть настроены одинаковые методы проверки подлинности.

При настройке адаптера проверки подлинности Kerberos соединитель VMware Identity Manager предпримет попытку инициализации Kerberos автоматически. Если служба соединителя VMware IDM была запущена с недостаточными правами для инициализации Kerberos, появится сообщение об ошибке. В таком случае следуйте инструкциям, приведенным в разделе http://kb.vmware.com/kb/2149753, для запуска сценария инициализации Kerberos.

Дополнительные сведения о настройке проверки подлинности Kerberos см. в руководстве по администрированию VMware Identity Manager.

Необходимые условия

  • Компьютер под управлением Windows, на который устанавливается соединитель VMware Identity Manager, должен быть подключен к домену.
  • Установка VMware Identity Manager Connector должна быть выполнена от имени пользователя домена, который является частью группы администраторов на компьютере под управлением Windows, где установлен соединитель. Необходимо запустить службу VMware IDM Connector от имени пользователя домена Windows.

Процедура

  1. В консоли администрирования VMware Identity Manager выберите вкладку Управление учетными данными и доступом.
  2. Щелкните Настройка, а затем выберите вкладку Соединители.
    Отобразится список всех развернутых соединителей.
  3. Щелкните ссылку в столбце Сотрудник одного из соединителей.
  4. Перейдите на вкладку Адаптеры проверки подлинности.
  5. Щелкните ссылку KerberosIdpAdapter, а затем настройте и включите адаптер.
    Параметр Описание
    Имя Имя адаптера по умолчанию — KerberosIdpAdapter. Его можно изменить.
    Атрибут UID каталога Атрибут учетной записи, который содержит имя пользователя.
    Включить проверку подлинности Windows. Выберите этот параметр.
    Включить перенаправление Если в кластере есть несколько соединителей и планируется обеспечить высокую доступность Kerberos с помощью подсистемы балансировки нагрузки, выберите этот параметр и задайте значение параметра Имя узла для перенаправления.

    Если в среде используется только один соединитель, параметры Включить перенаправление и Имя узла для перенаправления использовать необязательно.

    Имя узла для перенаправления Значение является обязательным, если выбран параметр Включить перенаправление. Введите собственное имя узла соединителя. Например, если имя узла соединителя — connector1.example.com, введите в текстовом поле connector1.example.com.
    Например:
    Сведения о настройке KerberosIdPAdapter см. в руководстве по администрированию VMware Identity Manager.
  6. Нажмите кнопку Сохранить.
    Примечание: При получении сообщения об ошибке инициализации Kerberos см. раздел Ошибка инициализации Kerberos. После запуска сценария вернитесь на эту страницу и настройте адаптер.
  7. При развертывании кластера следует настроить и включить KerberosIdpAdapter на всех соединителях в этом кластере.
    Адаптер должен быть одинаково настроен на всех соединителях, за исключением значения «Имя узла для перенаправления», которое является специфическим для каждого из соединителей.

Дальнейшие действия

  • Проверьте наличие доверенного сертификата SSL на всех соединителях, на которых включен параметр KerberosIdpAdapter. Его можно получить сертификат в своем внутреннем центре сертификации. Проверка подлинности Kerberos не работает с самозаверяющими сертификатами.

    Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинности Kerberos на одном или нескольких соединителях для обеспечения высокой доступности.

  • При необходимости настройте высокую доступность для проверки подлинности Kerberos. Без подсистемы балансировки нагрузки высокая доступность проверки подлинности Kerberos не обеспечивается.