在 Workspace ONE Access Connector 上安裝 Kerberos 驗證服務之後,您會收到錯誤,指出 Kerberos 初始化失敗。
問題
在 Workspace ONE Access Connector 中安裝 Kerberos 驗證服務期間,如果您未選取您要以網域使用者帳戶的身分執行 Workspace ONE Access 服務嗎? 選項,或者您選取了選項但指定了在 Active Directory 中不具有「建立、刪除和管理使用者帳戶」權限的網域帳戶,便無法在安裝後初始化 Kerberos。在您嘗試設定 Kerberos 驗證配接器時,收到指出 Kerberos 初始化失敗的錯誤。
解決方案
使用具有較高權限的使用者帳戶來執行 setupkerberos.bat 指令碼。使用下列帳戶:
- 網域使用者
- 具有在 Active Directory 中「建立、刪除和管理使用者帳戶」的權限 (管理員使用者和帳戶操作員群組的成員具有這些權限)
- 在 Workspace ONE Access Connector 安裝所在的 Windows Server 上屬於管理員群組
具有較高權限的這個使用者帳戶僅需要用來暫時執行指令碼,不會儲存或再次用於連接器服務。在您執行指令碼之後,可以繼續使用原本使用的原始使用者帳戶來設定 Kerberos 驗證方法。
備註:
setupkerberos.bat 指令碼支援在網域使用者帳戶密碼中使用以下特殊字元:
! ( & % @ / = ? * , . #
若要執行指令碼:
- 登入連接器 Windows 機器,並導覽至 InstallDir\Workspace_ONE_Access\Support\scripts 目錄。
- 在 setupkerberos.bat 上按一下滑鼠右鍵,然後選取以系統管理員身分執行。
- 輸入具有較高權限的使用者帳戶,如上所述。
成功執行指令碼之後,隨即顯示確認訊息。
- 以您原本使用的原始使用者帳戶來登入 Workspace ONE Access 主控台,並設定 Kerberos 驗證方法。
關於 setupkerberos.bat 指令碼
在 Workspace ONE Access Connector 20.01 或更新版本上安裝 Kerberos 驗證時,setupkerberos.bat 指令碼會執行下列工作:
- 建立與機器帳戶相同名稱 (不含 $) 的服務帳戶
- 為帳戶設定隨機密碼
- 為帳戶產生 keytab 檔案,依預設會將其儲存在 InstallDir\Workspace ONE Access\Kerberos Auth Service\conf 中。
- 將機器的指定主體對應為帳戶內的 SPN