Workspace ONE Access Connector 上安裝 Kerberos 驗證服務之後,您會收到錯誤,指出 Kerberos 初始化失敗。

問題

Workspace ONE Access Connector 中安裝 Kerberos 驗證服務期間,如果您未選取您要以網域使用者帳戶的身分執行 Workspace ONE Access 服務嗎? 選項,或者您選取了選項但指定了在 Active Directory 中不具有「建立、刪除和管理使用者帳戶」權限的網域帳戶,便無法在安裝後初始化 Kerberos。在您嘗試設定 Kerberos 驗證配接器時,收到指出 Kerberos 初始化失敗的錯誤。

解決方案

使用具有較高權限的使用者帳戶來執行 setupkerberos.bat 指令碼。使用下列帳戶:

  • 網域使用者
  • 具有在 Active Directory 中「建立、刪除和管理使用者帳戶」的權限 (管理員使用者和帳戶操作員群組的成員具有這些權限)
  • Workspace ONE Access Connector 安裝所在的 Windows Server 上屬於管理員群組

具有較高權限的這個使用者帳戶僅需要用來暫時執行指令碼,不會儲存或再次用於連接器服務。在您執行指令碼之後,可以繼續使用原本使用的原始使用者帳戶來設定 Kerberos 驗證方法。

備註: setupkerberos.bat 指令碼支援在網域使用者帳戶密碼中使用以下特殊字元:
! ( & % @ / = ? * , . #

若要執行指令碼:

  1. 登入連接器 Windows 機器,並導覽至 InstallDir\Workspace_ONE_Access\Support\scripts 目錄。
  2. setupkerberos.bat 上按一下滑鼠右鍵,然後選取以系統管理員身分執行
  3. 輸入具有較高權限的使用者帳戶,如上所述。

    成功執行指令碼之後,隨即顯示確認訊息。

  4. 以您原本使用的原始使用者帳戶來登入 Workspace ONE Access 主控台,並設定 Kerberos 驗證方法。

關於 setupkerberos.bat 指令碼

在 Workspace ONE Access Connector 20.01 或更新版本上安裝 Kerberos 驗證時,setupkerberos.bat 指令碼會執行下列工作:

  1. 建立與機器帳戶相同名稱 (不含 $) 的服務帳戶
  2. 為帳戶設定隨機密碼
  3. 為帳戶產生 keytab 檔案,依預設會將其儲存在 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf 中。
  4. 將機器的指定主體對應為帳戶內的 SPN