После установки службы проверки подлинности Kerberos в Workspace ONE Access Connector появляется сообщение об ошибке инициализации Kerberos.

Проблема

Если при установке службы проверки подлинности Kerberos не выбран параметр Запустить службы Workspace ONE Access под учетной записью пользователя домена? или указана учетная запись домена без права на «Создание, удаление и управление учетными записями пользователей» в Active Directory, то после установки невозможно инициализировать Kerberos. При попытке настроить метод проверки подлинности Kerberos появляется сообщение об ошибке инициализации Kerberos.

Решение

Запустите сценарий setupkerberos.bat под учетной записью пользователя с более высокими правами. Используйте учетную запись, которая:

  • принадлежит пользователю домена;
  • имеет право на «Создание, удаление и управление учетными записями пользователей» в Active Directory (эти права имеют члены групп «Администраторы» и «Операторы»);
  • входит в группу администраторов на сервере Windows, на котором установлен Workspace ONE Access Connector.

Эта учетная запись пользователя с более высокими правами требуется только временно для запуска сценария. Она не будет храниться и повторно использоваться для служб соединителя. После запуска сценария настройку метода проверки подлинности Kerberos можно продолжить под исходной учетной записью пользователя, которая использовалась ранее.

Примечание: Сценарий setupkerberos.bat поддерживает только нижеприведенные специальные символы в пароле учетной записи пользователя домена: 
! ( & % @ / = ? * , .

Запуск сценария:

  1. Войдите на сервер, на котором установлен соединитель, и перейдите в каталог InstallDir\Workspace_ONE_Access\Support\scripts.
  2. Щелкните правой кнопкой мыши файл setupkerberos.bat и выберите Запуск от имени администратора.
  3. Введите учетную запись пользователя с более высокими правами.

    После успешного выполнения сценария появится подтверждающее сообщение.

  4. Войдите в консоль Workspace ONE Access под исходной учетной записью пользователя и настройте метод проверки подлинности Kerberos.

Сведения о сценарии setupkerberos.bat

Сценарий setupkerberos.bat выполняет следующие задачи.

  1. Создает учетную запись службы с таким же именем, как у учетной записи компьютера (без $).
  2. Задает случайный пароль для учетной записи.
  3. Создает keytab-файл для учетной записи, который по умолчанию хранится в InstallDir\Workspace ONE Access\Kerberos Auth Service\conf.
  4. Сопоставляет данный субъект компьютера как имя субъекта-службы (SPN) в учетной записи.