После установки службы проверки подлинности Kerberos в Workspace ONE Access Connector появляется сообщение об ошибке инициализации Kerberos.

Проблема

Если при установке службы проверки подлинности Kerberos в Workspace ONE Access Connector не выбран параметр Запустить службы Workspace ONE Access под учетной записью пользователя домена? или указана учетная запись домена без права на «Создание, удаление и управление учетными записями пользователей» в Active Directory, то после установки невозможно инициализировать Kerberos. При попытке настроить адаптер проверки подлинности Kerberos появляется сообщение об ошибке инициализации Kerberos.

Решение

Запустите сценарий setupkerberos.bat под учетной записью пользователя с более высокими правами. Используйте учетную запись, которая:

  • принадлежит пользователю домена;
  • имеет право на «Создание, удаление и управление учетными записями пользователей» в Active Directory (эти права имеют члены групп «Администраторы» и «Операторы»);
  • входит в группу администраторов на сервере Windows, на котором установлен Workspace ONE Access Connector.

Эта учетная запись пользователя с более высокими правами требуется только временно для запуска сценария. Она не будет храниться и повторно использоваться для служб соединителя. После запуска сценария настройку метода проверки подлинности Kerberos можно продолжить под исходной учетной записью пользователя, которая использовалась ранее.

Примечание: Сценарий setupkerberos.bat поддерживает нижеприведенные специальные символы в пароле учетной записи пользователя домена.
! ( & % @ / = ? * , .

Запуск сценария:

  1. Войдите в компьютер под управлением Windows, на котором установлен соединитель, и перейдите в каталог InstallDir\Workspace_ONE_Access\Support\scripts.

    В случае соединителей версии 19.03 необходимо перейти в каталог InstallDir\VMwareIdentityManager\Connector\usr\local\horizon\scripts.

  2. Щелкните правой кнопкой мыши файл setupkerberos.bat и выберите Запуск от имени администратора.
  3. Введите учетную запись пользователя с более высокими правами, как описано выше.

    После успешного выполнения сценария появится подтверждающее сообщение.

  4. Войдите в консоль Workspace ONE Access под исходной учетной записью пользователя и настройте метод проверки подлинности Kerberos.

Сведения о сценарии setupkerberos.bat

Если на соединителе Workspace ONE Access Connector версии 20.01 или более поздней версии установлена проверка подлинности Kerberos, сценарий setupkerberos.bat выполняет указанные ниже задачи.

  1. Создает учетную запись службы с таким же именем, как у учетной записи компьютера (без $)
  2. Задает случайный пароль для учетной записи
  3. Создает keytab-файл для учетной записи, который по умолчанию хранится в InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.

    В случае соединителя Workspace ONE Access Connector 19.03 keytab-файл для учетной записи хранится в /usr/horizon/conf.

  4. Сопоставляет данный субъект компьютера как имя субъекта-службы в учетной записи