當您設定 Kerberos 驗證配接器時收到錯誤,指出 Kerberos 初始化失敗。

問題

在安裝 VMware Identity Manager Connector 期間,如果您未選取您要以網域使用者帳戶的身分執行 IDM Connector 服務嗎? 選項,或者您選取了選項但指定了在 Active Directory 中不具有「建立、刪除和管理使用者帳戶」權限的網域帳戶,便無法在安裝後初始化 Kerberos。在您嘗試設定 Kerberos 驗證配接器時,收到指出 Kerberos 初始化失敗的錯誤。

解決方案

使用具有較高權限的使用者帳戶來執行 setupkerberos.bat 指令碼。使用下列帳戶:

  • 網域使用者
  • 具有在 Active Directory 中「建立、刪除和管理使用者帳戶」的權限 (管理員使用者和帳戶操作員群組的成員具有這些權限)
  • 在 VMware Identity Manager Connector 安裝所在的 Windows Server 上屬於管理員群組

具有較高權限的這個使用者帳戶僅需要用來暫時執行指令碼,不會儲存或再次用於連接器服務。在您執行指令碼之後,可以繼續使用原本使用的原始使用者帳戶來設定 Kerberos 驗證配接器。

若要執行指令碼:

  1. 登入 Windows 連接器機器,然後導覽至 InstallDir\VMware Identity Manager\Connector\usr\local\horizon\scripts 目錄。
  2. setupkerberos.bat 上按一下滑鼠右鍵,然後選取以系統管理員身分執行
  3. 輸入具有較高權限的使用者帳戶,如上所述。

    成功執行指令碼之後,隨即顯示確認訊息

  4. 以您原本使用的原始使用者帳戶來登入 VMware Identity Manager 主控台,並設定 Kerberos 驗證配接器。

關於 setupkerberos.bat 指令碼

setupkerberos.bat 指令碼會執行下列工作:

  1. 建立與機器帳戶相同名稱 (不含 $) 的服務帳戶
  2. 為帳戶設定隨機密碼
  3. 為帳戶產生 Keytab 檔案,儲存在 /usr/horizon/conf
  4. 將機器的指定主體對應為帳戶內的 SPN