VMware Identity Manager Connector 上設定並啟用 KerberosIdpAdapter。如果您已部署高可用性所需的叢集,請在叢集中的所有連接器上設定並啟用配接器。

執行這項作業的原因和時機

重要事項︰

您的叢集中所有連接器的驗證配接器必須以相同的方式進行設定。所有連接器上皆必須設定相同的驗證方法。

當您設定 Kerberos 驗證配接器時,VMware Identity Manager 連接器會自動嘗試初始化 Kerberos。如果未以足夠的權限執行 VMware IDM Connector 服務來初始化 Kerberos,則會顯示錯誤訊息。在此情況下,請依照http://kb.vmware.com/kb/2149753中的指示執行指令碼來初始化 Kerberos。

如需關於設定 Kerberos 驗證的詳細資訊,請參閱《VMware Identity Manager 管理指南》

先決條件

  • VMware Identity Manager 連接器安裝所在的 Windows 機器必須加入至網域。

  • 您必須已在 Windows 機器上作為管理員群組一部分的網域使用者身分來安裝 VMware Identity Manager Connector 元件,且必須以 Windows 網域使用者的身分執行 VMware IDM Connector 服務。

程序

  1. VMware Identity Manager 管理主控台中,按一下身分識別與存取管理索引標籤。
  2. 按一下設定,然後按一下連接器索引標籤。

    您已部署的所有連接器皆會列出。

  3. 按一下其中一個連接器之 Worker 資料行中的連結。
  4. 按一下驗證配接器索引標籤。
  5. 按一下 KerberosIdpAdapter 連結,然後設定並啟用配接器。

    選項

    說明

    名稱

    配接器的預設名稱為 KerberosIdpAdapter。您可以變更此名稱。

    目錄 UID 屬性

    包含使用者名稱的帳戶屬性。

    啟用 Windows 驗證

    選取此選項。

    啟用重新導向

    如果您在一個叢集中有多個連接器,而且您想要使用負載平衡器來設定 Kerberos 高可用性,請選取此選項,並指定重新導向主機名稱的值。

    如果您的部署只有一個連接器,則不需要使用啟用重新導向重新導向主機名稱選項。

    重新導向主機名稱

    如果選取啟用重新導向選項,則必須提供值。輸入連接器本身的主機名稱。例如,如果連接器的主機名稱為 connector1.example.com,請在文字方塊中輸入 connector1.example.com

    例如:

    如需關於設定 KerberosIdPAdapter 的詳細資訊,請參閱《VMware Identity Manager 管理指南》

  6. 按一下儲存
    備註︰

    如果出現錯誤指出 Kerberos 初始化失敗,請依照http://kb.vmware.com/kb/2149753中的指示手動執行 Kerberos 初始化指令碼,然後返回此頁面並設定配接器。

  7. 如果您已部署叢集,請在叢集中的所有連接器上設定 KerberosIdPAdapter。

    請確保以相同方式在所有連接器上設定配接器,但 [重新導向主機名稱] 值除外,因為每個連接器皆有專用的值。

下一步

  • 確定已啟用 KerberosIdpAdapter 的每個連接器皆具有受信任的 SSL 憑證。您可以從內部憑證授權機構取得憑證。Kerberos 驗證無法搭配自我簽署憑證使用。

    無論您是在單一連接器上啟用 Kerberos,還是為了高可用性在多個連接器上啟用,都需要受信任的 SSL 憑證。

  • 視需要設定 Kerberos 驗證的高可用性。若沒有負載平衡器,則 Kerberos 驗證將不具有高可用性。