После установки службы проверки подлинности Kerberos в Workspace ONE Access Connector появляется сообщение об ошибке инициализации Kerberos.
Проблема
Если при установке службы проверки подлинности Kerberos в Workspace ONE Access Connector не выбран параметр Запустить службы Workspace ONE Access под учетной записью пользователя домена? или указана учетная запись домена без права на «Создание, удаление и управление учетными записями пользователей» в Active Directory, то после установки невозможно инициализировать Kerberos. При попытке настроить адаптер проверки подлинности Kerberos появляется сообщение об ошибке инициализации Kerberos.
Решение
Запустите сценарий setupkerberos.bat под учетной записью пользователя с более высокими правами. Используйте учетную запись, которая:
- принадлежит пользователю домена;
- имеет право на «Создание, удаление и управление учетными записями пользователей» в Active Directory (эти права имеют члены групп «Администраторы» и «Операторы»);
- входит в группу администраторов на сервере Windows, на котором установлен Workspace ONE Access Connector.
Эта учетная запись пользователя с более высокими правами требуется только временно для запуска сценария. Она не будет храниться и повторно использоваться для служб соединителя. После запуска сценария настройку метода проверки подлинности Kerberos можно продолжить под исходной учетной записью пользователя, которая использовалась ранее.
! ( & % @ / = ? * , .
Запуск сценария:
- Войдите в компьютер под управлением Windows, на котором установлен соединитель, и перейдите в каталог InstallDir\Workspace_ONE_Access\Support\scripts.
В случае соединителей версии 19.03 необходимо перейти в каталог InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.
- Щелкните правой кнопкой мыши файл setupkerberos.bat и выберите Запуск от имени администратора.
- Введите учетную запись пользователя с более высокими правами, как описано выше.
После успешного выполнения сценария появится подтверждающее сообщение.
- Войдите в консоль Workspace ONE Access под исходной учетной записью пользователя и настройте метод проверки подлинности Kerberos.
Сведения о сценарии setupkerberos.bat
Если на соединителе Workspace ONE Access Connector версии 20.01 или более поздней версии установлена проверка подлинности Kerberos, сценарий setupkerberos.bat выполняет указанные ниже задачи.
- Создает учетную запись службы с таким же именем, как у учетной записи компьютера (без $)
- Задает случайный пароль для учетной записи
- Создает keytab-файл для учетной записи, который по умолчанию хранится в InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.
В случае соединителя Workspace ONE Access Connector 19.03 keytab-файл для учетной записи хранится в /usr/horizon/conf.
- Сопоставляет данный субъект компьютера как имя субъекта-службы в учетной записи