identity manager 安裝和設定 vmware connector 19.03.0.0 ......將其他目錄轉換為 active...

安裝和設定 VMwareIdentity ManagerConnector 19.03.0.0(Windows)2019 年 4 月VMware Identity ManagerVMware Identity Manager 19.03

安裝和設定 VMware Identity Manager Connector 19.03.0.0 (Windows)

VMware, Inc. 2

您可以在 VMware 網站上找到最新的技術文件，網址如下：

https://docs.vmware.com/tw/

VMware 網站也提供最新的產品更新。

如果您對於本文件有任何意見，歡迎寄至：

[email protected]

Copyright © 2018, 2019 VMware, Inc. 保留所有權利。版權與商標資訊。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/tw/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目錄

安裝和設定 VMware Identity Manager Connector 19.03.0.0 (Windows) 5

1 關於 VMware Identity Manager Connector 6

2 準備在 Windows 上安裝 VMware Identity Manager Connector 8

VMware Identity Manager Connector (Windows) 的系統需求 8

VMware Identity Manager Connector (Windows) 的部署檢查清單 12

3 在 Windows 上安裝 VMware Identity Manager Connector 14

產生 VMware Identity Manager Connector 的啟動碼 14

執行 VMware Identity Manager Connector 安裝程式 15

執行 VMware Identity Manager Connector 安裝精靈 22

設定 VMware Identity Manager Connector 的 Proxy 設定 23

4 設定 VMware Identity Manager Connector 25

設定目錄 25

在 VMware Identity Manager Connector 上啟用驗證配接器 26

啟用 VMware Identity Manager Connector 的輸出模式 28

5 設定 VMware Identity Manager Connector 的高可用性 31

安裝和設定其他 VMware Identity Manager Connector 執行個體 31

設定驗證的高可用性 32

設定目錄同步的高可用性 33

6 將 Kerberos 驗證支援新增至您的 VMware Identity Manager Connector 部署 36

設定並啟用 Kerberos 驗證配接器 37

設定 Kerberos 驗證的高可用性 39

7 其他 VMware Identity Manager Connector 設定 43

針對 VMware Identity Manager Connector 使用 SSL 憑證 43

設定 VMware Identity Manager Connector 的 Syslog 伺服器 46

管理您的 VMware Identity Manager Connector 密碼 46

設定 VMware Identity Manager Connector 的 Proxy 設定 47

檢視或下載 VMware Identity Manager Connector 記錄檔 47

為 VMware Identity Manager Connector 設定時間同步化 (Windows) 49

8 升級 VMware Identity Manager Connector (Windows) 51

VMware, Inc. 3

9 升級 VMware Identity Manager Connector 伺服器上的 Java 52

10 刪除 VMware Identity Manager Connector 執行個體 53

11 將目錄從 ACC 移轉到 VMware Identity Manager Connector 54

將其他目錄轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory 54

停止將目錄從 Workspace ONE UEM 同步至 VMware Identity Manager 56

12 疑難排解 VMware Identity Manager Connector 58

重設 VMware Identity Manager Connector 的管理員使用者密碼 58

Kerberos 初始化錯誤 58


VMware, Inc. 4

安裝和設定 VMware Identity ManagerConnector 19.03.0.0 (Windows)

《安裝和設定 VMware Identity Manager Connector 19.03.0.0 (Windows)》提供安裝和設定 Windows 版本 VMware Identity Manager™ Connector (VMware Identity Manager 內部部署元件) 的相關資訊。

備註如需部署 Linux 版本 VMware Identity Manager Connector 的相關資訊，請參閱《VMware IdentityManager 雲端部署版本》(適用於雲端部署) 或《在 DMZ 中部署 VMware Identity Manager》(適用於內部

部署)。

主要對象

這項資訊是針對具有經驗且熟悉虛擬機器技術和資料中心作業的 Windows 系統管理員而撰寫的。

VMware, Inc. 5

關於 VMware Identity ManagerConnector 1VMware Identity Manager Connector 是 VMware Identity Manager 的內部部署元件，提供目錄整合、使用

者驗證以及與資源 (例如 Horizon 7) 整合的功能。

連接器會以輸出連線模式部署，且不需要開啟輸入連接埠 443。連接器會透過 Websocket 型通訊通道與

VMware Identity Manager 服務通訊。

圖 1‑1：VMware Identity Manager Connector 部署

要求回應

VMware Identity Manager 承租人

Websocket通道

HTTPS 443（僅限輸出）

Active Directory/

LDAP

VMware IdentityManager Connector

內部部署內部部署

選擇性服務

IntegrationBroker

Citrix 伺服器陣列

View 連線伺服器

RSA SecurID

RSA 調適性驗證

RADIUSServer

11

2

3

備註圖中說明的 VMware Identity Manager 承租人可以位於雲端或內部部署。

VMware, Inc. 6

支援的驗證方法

VMware Identity Manager Connector 支援下列驗證方法。

n 密碼

n RSA 調適性驗證

n RSA SecurID

n RADIUS

n 內部使用者的 Kerberos 驗證

備註除了這些連接器型驗證方法，也可使用 VMware Identity Manager 服務型驗證方法。此外，還可以使

用透過第三方身分識別提供者的輸入 SAML。

支援的目錄整合

VMware Identity Manager Connector 支援與下列類型的企業目錄整合。

n Active Directory over LDAP

n 透過整合式 Windows 驗證的 Active Directory

n LDAP 目錄

備註您也可以使用 Just-in-Time 佈建，在登入時使用第三方身分識別提供者所傳送的 SAML 宣告動態地

在 VMware Identity Manager 服務中建立使用者。

支援的資源

VMware Identity Manager Connector 支援與下列類型的資源整合。

n VMware Horizon® 7、Horizon 6 或 View 桌面平台和應用程式集區

n 具有主控和內部部署基礎結構的 VMware Horizon® Cloud Service™

n Citrix 發佈的資源

備註此外，VMware Identity Manager 也支援 Web 應用程式和原生行動應用程式。


VMware, Inc. 7

準備在 Windows 上安裝 VMwareIdentity Manager Connector 2部署 VMware Identity Manager Connector 之前，請先檢閱系統需求並準備好環境。

本章包含以下主題：

n VMware Identity Manager Connector (Windows) 的系統需求

n VMware Identity Manager Connector (Windows) 的部署檢查清單

VMware Identity Manager Connector (Windows) 的系統需求

若要部署 VMware Identity Manager Connector，請確定您的系統符合必要的需求。

硬體需求

請確定 Windows Server 符合下列硬體需求。

表格 2‑1. VMware Identity Manager Connector 的需求

使用者數量最多 1000 1000 到 10,000 10,000 到 25,000 25,000 到 50,000 50,000 到 100,000

CPU 2 2 個負載平衡伺服

器，每個具有 4 個CPU

2 個負載平衡伺服






每一伺服器的

RAM (GB)6 各 6 各 8 各 16 各 16

磁碟空間 (GB) 50 各 50 各 50 各 50 各 50

備註 n 每個 CPU 核心應為 2.0 GHz 或更高。需要一個 Intel 處理器。

n 磁碟空間需求包括：VMware Identity Manager Connector 應用程式、Windows 作業系統和 .NET 執行

階段需要 1 GB 的磁碟空間。針對記錄會配置額外的磁碟空間。

軟體需求

請確定 Windows Server 符合下列軟體需求。

VMware, Inc. 8

狀態檢查清單需求附註

Windows Server 2008 R2 或

Windows Server 2012 或

Windows Server 2012 R2 或

Windows Server 2016

在伺服器上安裝 PowerShell 備註如果您要安裝在 Windows Server 2008 R2 上，則需要 PowerShell 4.0 版。

安裝 NET Framework 4.6.2

網路需求

設定下方列出的連接埠時，所有流量皆為從來源元件至目的地元件的單向 (輸出)。

輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 VMware Identity Manager Connector的輸出連線。VMware Identity Manager Connector 所需使用的輸出連線必須隨時保持開啟。

表格 2‑2. VMware Identity Manager Connector 連接埠需求

來源目的地連接埠通訊協定附註


VMware Identity Manager 服務

VMware Identity Manager 服務主機 (內部部署安裝)

443 HTTPS 預設連接埠

必要


VMware Identity Manager 服務負載平衡器 (內部部署安

裝)

443 HTTPS

瀏覽器 VMware Identity ManagerConnector

8443 HTTPS 管理連接埠

必要


80 HTTP 必要


443 HTTPS 只有要在輸入模式中使用

的連接器時才需要此連接

埠。

如果在連接器上設定了

Kerberos 驗證，則需要

此連接埠。


Active Directory 389, 636, 3268,3269

預設連接埠。可以設定這

些連接埠。


DNS 伺服器 53 TCP/UDP 每個執行個體都必須可透

過連接埠 53 存取 DNS伺服器，並在連接埠 22上允許傳入 SSH 流量。


網域控制站 88、464、135、

445TCP/UDP 用於 Kerberos 驗證


RSA SecurID 系統 5500 預設連接埠。此連接埠可

供設定。


VMware, Inc. 9

表格 2‑2. VMware Identity Manager Connector 連接埠需求 (續)

來源目的地連接埠通訊協定附註


Horizon 連線伺服器 389, 443 存取 Horizon 連線伺服器

執行個體以進行 Horizon的整合


Integration Broker 80, 443 存取 Integration Broker以與 Citrix 發佈的資源進

行整合。

重要如果您將

Integration Broker 安裝

在與 VMware IdentityManager Connector 相同

的 Windows Server 上，

則必須確定在 IIS 伺服器

預設網站的站台繫結中，

HTTP 和 HTTPS 繫結連

接埠不會與 VMwareIdentity ManagerConnector 所使用的連接

埠衝突。

VMware IdentityManager Connector 使用

連接埠 80、443 和8443。

不建議在 VMwareIdentity ManagerConnector 伺服器上安裝

Integration Broker。


Syslog 伺服器 514 UDP 適用於外部 Syslog 伺服

器 (若已設定)

VMware Identity Manager 雲端主控 IP 位址

(雲端部署) 請參閱知識庫文章 2149884，以取得 VMware Identity Manager Connector 必須具有存取權的

VMware Identity Manager 服務 IP 位址清單。

DNS 記錄和 IP 位址需求

連接器必須要有可用的 DNS 項目和靜態 IP 位址。開始安裝之前，請先取得 DNS 記錄和 IP 位址，以便使

用及設定 Windows Server 的網路設定。

如果您想要設定 Kerberos 驗證，請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 後，

使用者可以看到 VMware Identity Manager Connector 主機名稱。

反向查閱的設定是選擇性的。在實作反向查閱時，您必須在 DNS 伺服器上定義 PTR 記錄，讓連接器使用

正確的網路組態。

您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP位址。


VMware, Inc. 10

https://kb.vmware.com/kb/2149884

表格 2‑3. 正向 DNS 記錄和 IP 位址範例

網域名稱資源類型 IP 位址

myconnector.company.com A 10.28.128.3

此範例會顯示反向 DNS 記錄和 IP 位址。

表格 2‑4. 反向 DNS 記錄和 IP 位址範例

IP 位址資源類型主機名稱

10.28.128.3 PTR myconnector.company.com

完成 DNS 組態後，請確認反向 DNS 查閱的設定是否正確。例如，命令 host IPaddress 必須解析為

DNS 名稱查閱。

備註如果您負載平衡器的虛擬 IP 位址 (VIP) 在 DNS 伺服器前面，則請注意，VMware Identity Manager並不支援使用 VIP。您可以指定以逗號分隔的多個 DNS 伺服器。

備註如果您使用 Unix 或 Linux 型 DNS 伺服器，並打算將連接器加入至 Active Directory 網域，請務必為

每個 Active Directory 網域控制站建立適當的服務資源記錄 (SRV)。

時間同步化

必須在所有 VMware Identity Manager 服務和連接器執行個體上設定時間同步化，

VMware Identity Manager 部署才能正常運作。

如需設定 VMware Identity Manager Connector 時間同步化的相關資訊，請參閱為 VMware IdentityManager Connector 設定時間同步化 (Windows)。

如需設定 VMware Identity Manager 服務的時間同步化的相關資訊，請參閱《安裝和設定 Linux 版VMware Identity Manager》和《安裝和設定 Windows 版 VMware Identity Manager》。

支援的 Active Directory 版本

支援由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域，或多個 Active Directory 樹系

中的多個網域組成的 Active Directory 環境。

VMware Identity Manager 支援 Windows Server 2008、Windows Server 2008 R2、Windows Server2012、Windows Server 2012 R2 和 Windows Server 2016 上的 Active Directory，以及具有網域功能層級

和樹系功能層級的 Windows 2003 及更新版本。

備註某些功能可能需要更高的功能層級。例如，若要讓使用者能夠從 Workspace ONE 變更 ActiveDirectory 密碼，則網域功能層級必須是 Windows 2008 或更新版本。


VMware, Inc. 11

VMware Identity Manager Connector (Windows) 的部署檢查清單

您可以使用部署檢查清單來收集在 Windows 上安裝和設定 VMware Identity Manager Connector 所需的資

訊。

完整網域名稱資訊

要收集的資訊列出資訊

VMware Identity Manager Connector FQDN

網路資訊


IP 位址備註您必須使用靜態 IP 位址，且該位址必須有定義於 DNS中的 PTR 和 A 記錄。

DNS 主機名稱

預設閘道位址

網路遮罩或字首

目錄資訊

VMware Identity Manager 支援與 Active Directory 或 LDAP 目錄進行整合。

表格 2‑5. Active Directory 網域控制站資訊檢查清單


Active Directory 伺服器名稱

Active Directory 網域名稱

基準 DN

針對 Active Directory over LDAP，要收集繫結 DN 使用者名稱

和密碼

對於透過整合式 Windows 驗證的 Active Directory，要收集同時

屬於您要安裝之 Windows Server 上管理員群組的使用者名稱和

網域使用者的密碼

表格 2‑6. LDAP 目錄伺服器資訊檢查清單


LDAP 目錄伺服器名稱或 IP 位址

LDAP 目錄伺服器連接埠號碼

基準 DN


VMware, Inc. 12

表格 2‑6. LDAP 目錄伺服器資訊檢查清單 (續)


繫結 DN 使用者名稱和密碼

繫結使用者物件、群組物件和使用者物件的 LDAP 搜尋篩選器

成員資格的 LDAP 屬性名稱、物件 UUID 和辨別名稱

SSL 憑證

部署 VMware Identity Manager Connector 後，您可以從憑證授權機構新增 SSL 憑證。

表格 2‑7. SSL 憑證資訊檢查清單


SSL 憑證

私密金鑰

備註對於 Kerberos 驗證，連接器必須擁有受信任的 SSL 憑證。您可以從內部憑證授權機構取得憑證。

Kerberos 驗證無法搭配自我簽署憑證使用。


VMware, Inc. 13

在 Windows 上安裝 VMwareIdentity Manager Connector 3安裝 VMware Identity Manager Connector 包括數項工作。

1 在 VMware Identity Manager 主控台中產生啟動碼。

2 在符合所有需求的 Windows Server 上，下載並執行 VMware Identity Manager Connector 安裝程式

3 執行連接器安裝精靈，以啟用連接器並設定密碼

4 如有需要，請設定連接器的 Proxy 設定。


n 產生 VMware Identity Manager Connector 的啟動碼

n 執行 VMware Identity Manager Connector 安裝程式

n 執行 VMware Identity Manager Connector 安裝精靈

n 設定 VMware Identity Manager Connector 的 Proxy 設定

產生 VMware Identity Manager Connector 的啟動碼在安裝 VMware Identity Manager Connector 之前，請登入 VMware Identity Manager 主控台，並產生連接

器的啟動碼。此啟動碼會用來建立 VMware Identity Manager 服務與 VMware Identity Manager Connector執行個體之間的通訊。

先決條件

您擁有 VMware Identity Manager 服務 URL 和系統網域管理員認證。在雲端部署中，系統網域管理員是您

在取得 VMware Identity Manager 承租人時所收到其認證的管理員。在內部部署中，系統網域管理員是您

安裝 VMware Identity Manager 時所建立的管理員使用者。

程序

1 以系統網域管理員身分登入 VMware Identity Manager 主控台。

2 按一下身分識別與存取管理索引標籤。

3 按一下設定。

4 在 [連接器] 頁面上，按一下新增連接器。

VMware, Inc. 14

5 輸入連接器的名稱。

6 按一下產生啟動碼。

啟動碼會顯示在頁面上。

7 複製啟動碼，並加以儲存。

稍後在安裝連接器之後，請在連接器安裝精靈中輸入啟動碼。

後續步驟

下載並安裝 VMware Identity Manager Connector。

執行 VMware Identity Manager Connector 安裝程式

請在符合所有需求的 Windows Server 上執行 VMware Identity Manager Connector 安裝程式。

先決條件

n 連接埠 80、443 和 8443 必須可在 Windows Server 上使用。如果這些連接埠由其他服務所使用，您將

無法安裝 VMware Identity Manager Connector。

n 在下列情況下，Windows Server 必須加入至 Active Directory 網域，且您必須以安裝所在之 WindowsServer 上屬於管理員群組的網域使用者身分來安裝 VMware Identity Manager Connector：

n 如果您計劃要透過整合式 Windows 驗證連線至 Active Directory

n 如果您計劃要使用 Kerberos 驗證

在這些情況下，您也必須選擇以網域使用者的身分執行 IDM Connector 服務。在安裝精靈中會顯示此

選項。


VMware, Inc. 15

n 若要讓安裝程式能夠在安裝期間瀏覽及驗證網域和使用者，則必須符合下列需求。

n Windows Server 必須已加入網域。

備註只有當您需要選取網域使用者來執行 IDM Connector 服務時，才需要執行此操作。請參閱需

求適用案例的前一個項目符號。

n 可能需要啟用並執行電腦瀏覽器服務，才能瀏覽網域。

n 必須啟用 NetBIOS over TCP/IP。

n 應在網路上設定主要瀏覽器系統。

n 應在網路上啟用廣播流量。

n 如果要將內嵌的連接器移轉至獨立連接器，或將 Linux 連接器移轉至 Windows 連接器，請先從原始部

署中產生組態檔，之後再執行安裝程式。此檔案包含有關原始連接器的組態資訊。

請參閱《升級至 VMware Identity Manager 19.03》以取得移轉程序的相關資訊。

程序

1 下載 Windows 版 VMware Identity Manager Connector 安裝程式。

您可以從 My VMware 的 VMware Identity Manager 產品頁面或從 My Workspace ONE 下載安裝程

式。

2 按兩下安裝程式檔案以執行 VMware Identity Manager Connector 安裝精靈。


VMware, Inc. 16

3 在 [歡迎] 頁面上，按下一步。

安裝程式會確認伺服器的先決條件。若未安裝 .NET Framework，則系統會提示您加以安裝並重新啟動

伺服器。重新啟動後，請再次執行安裝程式以繼續進行安裝程序。

如果已安裝舊版，則安裝程式會自動偵測並提供升級至最新版本的選項。

4 閱讀並接受 VMware 終端使用者授權合約，然後按下一步。

5 選取要在其中安裝 VMware Identity Manager Connector 的資料夾。

依預設會選取 C:\VMware。


VMware, Inc. 17

6 如果在 Windows Server 上尚未安裝 Java Runtime Environment (JRE™) 的最新主要版本，則會顯示

以下快顯畫面。

按一下是以安裝 JRE。安裝可能需要幾分鐘的時間。在安裝必要版本時，系統不會刪除現有的 JRE 版本。

7 在 VMware Identity Manager 組態頁面中，輸入連接器的主機名稱和連接埠。

將主機名稱指定為完整網域名稱 (FQDN)。例如 connector.example.com。

備註名稱應符合伺服器加入的網域 (如果適用)。

預設連接埠為 443。VMware Identity Manager Connector 僅支援 443。


VMware, Inc. 18

8 在 [VMware Identity Manager Connector 服務帳戶] 頁面中，如果您想要以網域使用者帳戶執行連接器

服務，請選取選項，然後輸入使用者名稱和網域使用者帳戶的密碼。

在下列情況下，您必須以網域使用者的身分執行服務：

n 如果您計劃要透過整合式 Windows 驗證連線至 Active Directory


備註如果您在按一下瀏覽時找不到網域或使用者，請確認您已符合所有先決條件。


VMware, Inc. 19

9 按下一步。

10 請根據是否要安裝新的連接器或移轉連接器來進行選取。

n 如果要安裝新的連接器，請取消選取是否要移轉您的連接器? 選項，然後按下一步。

n 如果要將內嵌的連接器移轉至獨立連接器，或將 Linux 連接器移轉至 Windows 連接器，請遵循下

列步驟。

a 選取是否要移轉連接器? 核取方塊。

b 在組態套件 (.enc) 文字方塊中，輸入從原始部署產生的組態檔路徑。

c 輸入您建立組態檔時為其設定的密碼。

11 按下一步。

12 在 [準備安裝程式] 頁面中，按一下安裝。


VMware, Inc. 20

安裝可能需要幾分鐘的時間。

13 [安裝精靈完成] 頁面出現時，按一下完成。

會顯示以下快顯畫面，列出前往完成連接器安裝精靈的 URL。

URL 指向 https://connectorhostname:8443 的連接器管理頁面。

後續步驟

移至所列出的 URL，並完成連接器安裝精靈。


VMware, Inc. 21

執行 VMware Identity Manager Connector 安裝精靈安裝 VMware Identity Manager Connector 之後，請移至安裝精靈確認頁面上列出的 URL：

https://connectorhostname:8443，並完成連接器安裝精靈。

在安裝精靈中，您要輸入連接器啟動碼並設定密碼。

先決條件

n 對於您在 VMware Identity Manager 主控台產生的連接器，您擁有該連接器的啟動碼。請參閱產生

VMware Identity Manager Connector 的啟動碼。

n 請勿在增強式安全性模式下使用 Internet Explorer 來執行安裝精靈。必須在瀏覽器上啟用指令碼。

程序

1 開啟瀏覽器視窗並移至 URL https://connectorhostname:8443。

例如 https://connector.example.com:8443。

[歡迎] 頁面隨即顯示。

2 按一下繼續。

3 在 [設定密碼] 頁面中建立連接器管理員使用者的密碼，這將用來存取連接器管理頁面。

然後按一下繼續。


VMware, Inc. 22

4 在 [啟動連接器] 頁面中輸入連接器啟動碼，然後按一下繼續。

連接器成功啟動時，系統會顯示「設定完成」訊息。

VMware Identity Manager Connector 安裝現已完成。

後續步驟

n 如有需要，請設定 VMware Identity Manager Connector 的 Proxy 設定。

n 登入 VMware Identity Manager 主控台以設定連接器。

設定 VMware Identity Manager Connector 的 Proxy 設定VMware Identity Manager Connector 會存取網際網路上的 Web 服務。如果您的網路組態可透過 HTTPProxy 提供網際網路存取，則必須調整 VMware Identity Manager Connector 上的 Proxy 設定。

備註啟用 Proxy 以僅處理網際網路流量。若要確認 Proxy 設定是否正確，請將內部流量的參數設定為在

網域內不使用 Proxy。


VMware, Inc. 23

程序

1 使用瀏覽器前往位於 https://connectorhostname:8443/cfg/login 的 VMware Identity ManagerConnector 管理頁面。

2 使用連接器管理員使用者密碼登入。

3 按一下 Proxy 組態。

4 選取啟用。

5 在具有連接埠的 Proxy 主機文字方塊中，輸入 Proxy 伺服器主機名稱和連接埠。

例如：proxy.example.com:3128

6 在非 Proxy 的主機欄位中，輸入連接器不需經由 Proxy 伺服器即可存取的主機。

使用逗點來分隔主機名稱的清單。

7 按一下儲存。


VMware, Inc. 24

設定 VMware Identity ManagerConnector 4安裝 VMware Identity Manager Connector 之後，登入 VMware Identity Manager 主控台，然後完成組態。

這包括設定目錄來將使用者和群組同步至 VMware Identity Manager 服務、設定您想要使用的驗證方法以

及啟用 VMware Identity Manager Connector 的輸出模式。


n 設定目錄

n 在 VMware Identity Manager Connector 上啟用驗證配接器

n 啟用 VMware Identity Manager Connector 的輸出模式

設定目錄安裝並啟動 VMware Identity Manager Connector 之後，請在 VMware Identity Manager 主控台中新增一個

目錄，並建立企業目錄的連線，以將使用者和群組同步至服務。

VMware Identity Manager 支援整合下列類型的目錄。

n Active Directory over LDAP

n 透過整合式 Windows 驗證的 Active Directory

n LDAP 目錄

設定目錄之前，請先參閱《目錄與 VMware Identity Manager 的整合》以取得詳細資訊。以下列出高階工

作。

先決條件

先決條件取決於您要整合的目錄類型。如需相關資訊，請參閱《目錄與 VMware Identity Manager 的整

合》。

程序

1 登入 VMware Identity Manager 主控台。

提示您也可以按一下在啟動連接器後所顯示 [設定完成] 頁面中的登入管理主控台連結來前往管理主控

台。

VMware, Inc. 25

2 選取要同步至目錄的使用者屬性。

a 按一下身分識別與存取管理索引標籤，然後按一下設定。

b 在使用者屬性索引標籤中，選取要做為必要屬性的屬性，然後視需要新增其他屬性。

如果屬性標示為必要，則只有具有該屬性的使用者會同步至服務。

重要請注意以下限制。

n 目錄建立後，您即無法將選用屬性變更為必要屬性。您必須在現在進行選取。

n [使用者屬性] 頁面中的設定會套用至服務中的所有目錄。當您將屬性設為必要時，請考量這對

其他目錄的影響。

3 按一下管理。

4 按一下新增目錄，然後選取您要新增的目錄類型。

5 依照精靈的指示輸入目錄組態資訊，接著選取要同步的群組和使用者，然後將使用者同步至

VMware Identity Manager 服務。

如需相關資訊，請參閱《目錄與 VMware Identity Manager 的整合》。

後續步驟

按一下使用者和群組索引標籤，並確認使用者已同步。

在 VMware Identity Manager Connector 上啟用驗證配接器輸出模式中的 VMware Identity Manager Connector 有數個可用的驗證配接器，包括

PasswordIdpAdapter、RSAAIdpAdapter、SecurIDAdapter 和 RadiusAuthAdapter。設定並啟用您要使用

的配接器。

如果您已建立目錄，系統會自動為其啟用密碼驗證方法。而 PasswordIdpAdapter 會使用您為目錄提供的

資訊進行設定。

程序

1 在 VMware Identity Manager 主控台中，按一下身分識別與存取管理索引標籤。

2 按一下設定，然後按一下連接器索引標籤。

您已部署的連接器隨即列出。

3 按一下 Worker 資料行中的連結。

4 按一下驗證配接器索引標籤。

該連接器所有可用的驗證配接器皆會列出。

如果您已設定目錄，則 PasswordIdpAdapter 即已使用您在建立目錄時指定的組態資訊進行設定及啟

用。


VMware, Inc. 26

5 按一下每個驗證配接器的連結，並輸入組態資訊，以設定並啟用您要使用的配接器。您至少必須啟用一

個驗證配接器。

如需設定特定驗證配接器的相關資訊，請參閱《VMware Identity Manager 管理指南》。

例如：


VMware, Inc. 27

啟用 VMware Identity Manager Connector 的輸出模式若要啟用 VMware Identity Manager Connector 的僅限輸出連線模式，請建立連接器與內建身分識別提供

者的關聯。

內建身分識別提供者依預設會在 VMware Identity Manager 服務中啟用，並提供額外的內建驗證方法，例

如 VMware Verify。如需內建身分識別提供者的相關資訊，請參閱《VMware Identity Manager 管理指

南》。

備註連接器可同時在輸出和一般模式中使用。即使您啟用輸出模式，仍可以使用驗證方法和原則為內部

使用者設定 Kerberos 驗證。

程序

1 在 VMware Identity Manager 主控台內選取身分識別與存取管理索引標籤，然後按一下管理。

2 按一下身分識別提供者索引標籤。

3 按一下內建連結。

4 輸入下列資訊。

選項說明

使用者選取將使用內建身分識別提供者的目錄或網域。

網路選取將使用內建身分識別提供者的網路範圍。

連接器選取您設定的連接器，然後按一下新增連接器。

備註隨後，當您新增高可用性所需的其他連接器時，請加以選取並將其新增至此

處，以建立這些連接器與內建身分識別提供者的關聯。VMware Identity Manager會自動將流量分配給所有與內建身分識別提供者相關聯的連接器。不需要負載平衡

器。

連接器驗證方法您為連接器啟用的驗證方法皆會列出。請選取您要使用的驗證方法。

在您建立目錄時自動設定並啟用的 PasswordIdpAdapter，會在此頁面上顯示為密

碼 (雲端部署)，這表示它會用於輸出模式中的連接器。

例如：


VMware, Inc. 28

5 按一下儲存，以儲存內建身分識別提供者組態。

6 編輯原則，以使用您已啟用的驗證方法。

a 在身分識別與存取管理索引標籤中，按一下管理。

b 按一下原則索引標籤，然後按一下您要編輯的原則。

c 按一下編輯。

d 在精靈的組態頁面中編輯規則。選取您要用於每個規則的驗證方法。

e 儲存您的變更。

如需關於設定原則的詳細資訊，請參閱《VMware Identity Manager 管理指南》。


VMware, Inc. 29

此時，連接器的輸出模式已啟用。當使用者使用您在 [內建身分識別提供者] 頁面中為連接器啟用的其中一

個驗證方法登入時，將不需要透過 HTTP 重新導向至連接器。


VMware, Inc. 30

設定 VMware Identity ManagerConnector 的高可用性 5您可以在叢集中新增多個連接器執行個體，藉此設定 VMware Identity Manager Connector 來獲得高可用

性。如果某個連接器執行個體因故無法使用，仍將有其他執行個體可供使用。

若要建立叢集，您需要安裝新的連接器執行個體，然後以設定第一個連接器的相同方式來設定這些執行個

體。

接著，您可以將所有連接器執行個體與內建身分識別提供者建立關聯。VMware Identity Manager 服務會自

動將流量分配給所有與內建身分識別提供者相關聯的連接器。不需要負載平衡器。比方說，如果其中一個

連接器因網路問題而無法使用，則服務不會將流量導向至該處。當連線功能恢復時，服務會繼續將流量傳

送至該連接器。

在設定連接器叢集，並將所有連接器與內建身分識別提供者相關聯後，您在連接器上啟用的驗證方法會高

度可用。如果有其中一個連接器執行個體無法使用，則驗證仍可執行。

若要針對目錄同步設定高可用性，您會將所有連接器執行個體與目錄相關聯，然後為目錄設定同步連接器

清單。同步連接器清單中的連接器會以容錯移轉順序排列。VMware Identity Manager 服務會針對目錄同步

使用清單中的第一個連接器。如果第一個連接器無法使用，它會使用第二個連接器，依此類推。同步連接

器清單是從目錄的 [同步設定] 頁面為每個目錄設定。

備註本節內容不適用於 Kerberos 驗證的高可用性。請參閱第 6 章，將 Kerberos 驗證支援新增至您的

VMware Identity Manager Connector 部署。


n 安裝和設定其他 VMware Identity Manager Connector 執行個體

n 設定驗證的高可用性

n 設定目錄同步的高可用性

安裝和設定其他 VMware Identity Manager Connector 執行個體安裝並設定第一個 VMware Identity Manager Connector 執行個體後，您可以安裝新的連接器執行個體，

並以設定第一個連接器執行個體的相同方式來設定這些執行個體，以新增高可用性所需的其他連接器。

重要新的連接器執行個體必須針對與第一個連接器執行個體相同的 VMware Identity Manager 服務啟動。

VMware, Inc. 31

先決條件

您已安裝並設定第一個連接器執行個體。

程序

1 根據第 3 章，在 Windows 上安裝 VMware Identity Manager Connector，安裝和設定新的 VMwareIdentity Manager Connector 執行個體。

2 將新的 VMware Identity Manager Connector 與第一個連接器執行個體的 WorkspaceIDP 建立關聯。

a 在 VMware Identity Manager 管理主控台中，依序選取身分識別與存取管理和身分識別提供者索引

標籤。

b 在 [身分識別提供者] 頁面中尋找第一個連接器執行個體的 WorkspaceIDP，然後按一下連結。

c 在連接器欄位中，選取新的連接器。

d 輸入繫結 DN 密碼，然後按一下新增連接器。

e 按一下儲存。

3 在新的連接器上設定並啟用驗證配接器。

重要您的叢集中所有連接器的驗證配接器必須以相同的方式進行設定。所有連接器上皆必須啟用相同

的驗證方法。

a 在身分識別與存取管理索引標籤中按一下設定，然後按一下連接器索引標籤。

b 按一下新連接器之 Worker 資料行中的連結。

c 按一下驗證配接器索引標籤。

該連接器所有可用的驗證配接器皆會列出。

由於您已將新的連接器與第一個連接器的相關目錄建立關聯，因此 PasswordIdpAdapter 已設定並

啟用。

d 使用與第一個連接器相同的方式，設定並啟用其他驗證配接器。請確定組態資訊是相同的。

如需設定驗證配接器的相關資訊，請參閱《VMware Identity Manager 管理指南》。

後續步驟

設定驗證的高可用性

設定驗證的高可用性部署並設定新的 VMware Identity Manager Connector 執行個體之後，請透過將新執行個體新增至內建身

分識別提供者，並啟用在第一個連接器執行個體上啟用的相同驗證方法來設定驗證的高可用性。

VMware Identity Manager 會自動將流量分配給所有與內建身分識別提供者相關聯的連接器。

先決條件

您已安裝和設定額外的連接器執行個體。請參閱安裝和設定其他 VMware Identity Manager Connector 執行個體。


VMware, Inc. 32

程序

1 在 VMware Identity Manager 管理主控台的身分識別與存取管理索引標籤中，按一下管理。


3 按一下內建連結。

4 在連接器欄位中，從下拉式清單中選取新的連接器，然後按一下新增連接器。

5 在連接器驗證方法區段中，啟用您為第一個連接器啟用的相同驗證方法。

系統會自動設定並啟用「密碼 (雲端部署)」驗證方法。您必須啟用其他驗證方法。

重要您的叢集中所有連接器的驗證配接器必須以相同的方式進行設定。所有連接器上皆必須啟用相同

的驗證方法。

如需設定特定驗證配接器的相關資訊，請參閱《VMware Identity Manager 管理》。

6 按一下儲存，以儲存內建身分識別提供者組態。

設定目錄同步的高可用性若要設定目錄同步的高可用性，在安裝其他連接器執行個體後，您會將它們與已與第一個連接器執行個體

相關聯的目錄建立關聯。然後您可以為目錄設定同步連接器清單。同步連接器清單中的連接器會以容錯移

轉順序排列。VMware Identity Manager 服務會使用清單中的第一個連接器來同步目錄的使用者和群組。如

果第一個連接器無法使用，則會使用清單中的下一個連接器，依此類推。

每個目錄都有其自己的同步連接器清單。

最佳做法是以相同連接器不會同時同步多個目錄的方式設定您的部署。您可以使用下列策略。

n 對不同目錄使用一組不同的連接器。

n 如果您以相同的容錯移轉順序使用同一組連接器，請為每個目錄將同步排程在不同時間進行。

n 如果您對多個目錄使用同一組連接器，請為每個目錄設定不同的容錯移轉順序，如此同步便不會回復為

使用相同連接器。

此功能會從 VMware Identity Manager 19.03 內部部署發行與 2019 年 4 月雲端部署版本開始提供。若要使

用此功能，將所有連接器都升級到版本 19.03.0.0，然後遵循此程序來設定同步連接器清單。考慮以下情

況。

n 針對現有目錄，同步連接器清單是空的。除非您設定同步連接器清單，否則原始為目錄設定的連接器，

會繼續可用於同步，並且如果連接器失敗，則後援無法使用。

n 在升級或新環境中建立的新目錄，其同步連接器清單中會列出一個連接器。此連接器是您在建立目錄時

所選取的同步連接器。

先決條件

n 您已安裝和設定額外的連接器執行個體。請參閱安裝和設定其他 VMware Identity Manager Connector執行個體。


VMware, Inc. 33

n 與服務相關聯的所有連接器必須都是版本 19.03.0.0 或更新版本。如果任何連接器為較舊版本，則目錄

的 [同步設定] 頁面不會顯示 [同步連接器] 索引標籤。

程序

1 將新的連接器執行個體與第一個連接器執行個體相關聯之目錄的 Workspace IDP 相關聯。

a 在 VMware Identity Manager 主控台中，按一下身分識別與存取管理索引標籤，然後按一下設定。

b 先在 [連接器] 頁面上，找到您安裝的連接器執行個體。

c 在該資料列，按一下您想要設定高可用性之目錄的 [身分識別提供者] 資料行中的 WorkspaceIDP連結。

d 在 WorkspaceIDP 頁面上，捲動到連接器區段，從下拉式功能表選取每個新的連接器執行個體，

然後按一下新增連接器。

e 按一下儲存。

2 按一下設定返回到 [連接器] 頁面。

3 在 [連接器] 頁面上，按一下相關聯的目錄資料行中的目錄連結，來前往目錄頁面。

4 按一下同步設定。

5 按一下同步連接器索引標籤。


VMware, Inc. 34

6 選取用來同步此目錄的使用者和群組的連接器執行個體。

a 從選取連接器清單，這會顯示新增到服務的所有連接器，請選取連接器，然後按一下 + 圖示。

連接器會新增至同步連接器清單。

b 新增您想要用於同步至同步連接器清單的所有連接器。

c 在同步連接器清單中，使用向上鍵和向下鍵，依容錯移轉順序排列連接器。

若要執行目錄同步，VMware Identity Manager 會嘗試使用清單中的第一個連接器。如果第一個連

接器無法使用，則會嘗試使用第二個連接器，依此類推。

例如：


目錄的同步連接器清單會儲存，並且會從下次同步起開始套用。

您可以在 [目錄] 頁面的同步記錄索引標籤中檢視用於同步的連接器。

例如：


VMware, Inc. 35

將 Kerberos 驗證支援新增至您的VMware Identity ManagerConnector 部署 6您可以將內部使用者的 Kerberos 驗證 (需要輸入連線模式) 新增至輸出連線模式連接器的部署。您可以設

定相同的連接器，以便對來自內部網路的使用者使用 Kerberos 驗證，而對來自外部網路的使用者使用另一

個驗證方法。若要這麼做，請根據網路範圍定義驗證原則。

下圖說明內部部署 VMware Identity Manager 部署中的 Kerberos 驗證。

圖 6‑1：Kerberos 驗證

VMware IdentityManager伺服器

負載平衡器

VMware IdentityManager

Connector 1

VMware IdentityManager

Connector 2

內部部署

DMZ 企業網路

443443

443

443

443

Kerberos 驗證的需求和考量事項包含下列：

n 無論您在 VMware Identity Manager、Active Directory over LDAP 或透過整合式 Windows 驗證的

Active Directory 中設定何種類型的目錄，都可以設定 Kerberos 驗證。

n VMware Identity Manager Connector 安裝所在的 Windows 機器必須加入至 Active Directory 網域。

n 您必須已在安裝連接器所在的 Windows 機器上，以隸屬於管理員群組的網域使用者身分來安裝

VMware Identity Manager Connector，且必須以 Windows 網域使用者的身分執行 VMware IDMConnector 服務。

n 請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 驗證後，使用者可以看到 VMwareIdentity Manager Connector 主機名稱。

VMware, Inc. 36

n 每個已設定 kerberos 驗證的連接器，皆必須具有受信任的 SSL 憑證。您可以從內部憑證授權機構取得

憑證。Kerberos 驗證無法搭配自我簽署憑證使用。

無論您是在單一連接器上啟用 Kerberos，還是為了高可用性在多個連接器上啟用，都需要受信任的

SSL 憑證。

n 若要設定 Kerberos 驗證的高可用性，則必須具備負載平衡器。


n 設定並啟用 Kerberos 驗證配接器

n 設定 Kerberos 驗證的高可用性

設定並啟用 Kerberos 驗證配接器在 VMware Identity Manager Connector 上設定並啟用 KerberosIdpAdapter。如果您已部署高可用性所需

的叢集，請在叢集中的所有連接器上設定並啟用配接器。

重要您的叢集中所有連接器的驗證配接器必須以相同的方式進行設定。所有連接器上皆必須設定相同的

驗證方法。

當您設定 Kerberos 驗證配接器時，VMware Identity Manager 連接器會自動嘗試初始化 Kerberos。如果未

以足夠的權限執行 VMware IDM Connector 服務來初始化 Kerberos，則會顯示錯誤訊息。在此情況下，請

依照 http://kb.vmware.com/kb/2149753 中的指示執行指令碼來初始化 Kerberos。

如需關於設定 Kerberos 驗證的詳細資訊，請參閱《VMware Identity Manager 管理指南》。

先決條件

n VMware Identity Manager 連接器安裝所在的 Windows 機器必須加入至網域。

n 您必須已在安裝連接器所在的 Windows 機器上，以隸屬於管理員群組的網域使用者身分來安裝

VMware Identity Manager Connector，且必須以 Windows 網域使用者的身分執行 VMware IDMConnector 服務。

程序

1 在 VMware Identity Manager 管理主控台中，按一下身分識別與存取管理索引標籤。

2 按一下設定，然後按一下連接器索引標籤。

您已部署的所有連接器皆會列出。

3 按一下其中一個連接器之 Worker 資料行中的連結。

4 按一下驗證配接器索引標籤。

5 按一下 KerberosIdpAdapter 連結，然後設定並啟用配接器。

選項說明

名稱配接器的預設名稱為 KerberosIdpAdapter。您可以變更此名稱。

目錄 UID 屬性包含使用者名稱的帳戶屬性。


VMware, Inc. 37

http://kb.vmware.com/kb/2149753

選項說明

啟用 Windows 驗證選取此選項。

啟用重新導向如果您在一個叢集中有多個連接器，而且您想要使用負載平衡器來設定 Kerberos高可用性，請選取此選項，並指定重新導向主機名稱的值。

如果您的部署只有一個連接器，則不需要使用啟用重新導向和重新導向主機名稱選

項。

重新導向主機名稱如果選取啟用重新導向選項，則必須提供值。輸入連接器本身的主機名稱。例如，

如果連接器的主機名稱為 connector1.example.com，請在文字方塊中輸入

connector1.example.com。

例如：

如需關於設定 KerberosIdPAdapter 的詳細資訊，請參閱《VMware Identity Manager 管理指南》。


備註如果出現錯誤，指出 Kerberos 初始化失敗，請參閱 Kerberos 初始化錯誤。在您執行指令碼之

後，請返回此頁面並設定介面卡。

7 如果您已部署叢集，請在叢集中的所有連接器上設定 KerberosIdPAdapter。

請確保以相同方式在所有連接器上設定配接器，但 [重新導向主機名稱] 值除外，因為每個連接器皆有

專用的值。

後續步驟

n 確定已啟用 KerberosIdpAdapter 的每個連接器皆具有受信任的 SSL 憑證。您可以從內部憑證授權機構

取得憑證。Kerberos 驗證無法搭配自我簽署憑證使用。

無論您是在單一連接器上啟用 Kerberos，還是為了高可用性在多個連接器上啟用，都需要受信任的

SSL 憑證。

n 視需要設定 Kerberos 驗證的高可用性。若沒有負載平衡器，則 Kerberos 驗證將不具有高可用性。


VMware, Inc. 38

設定 Kerberos 驗證的高可用性若要設定 Kerberos 驗證的高可用性，請在您位於防火牆內的內部網路中安裝負載平衡器，並為其新增

VMware Identity Manager Connector 執行個體。

您也必須在負載平衡器上進行某些設定、建立負載平衡器與連接器執行個體之間的 SSL 信任，以及將連接

器驗證 URL 變更為使用負載平衡器主機名稱。

設定負載平衡器設定

您必須設定負載平衡器上的特定設定，例如正確地設定負載平衡器逾時，以及啟用黏性工作階段。

請設定下列設定。

n 負載平衡器逾時

若要讓 VMware Identity Manager Connector 正常運作，您可能必須從預設值提高負載平衡器要求逾

時。此值以分鐘為單位設定，如果逾時設定太低，您可能會看見下列錯誤。

502 錯誤：服務目前無法使用

n 啟用黏性工作階段

如果您的部署有多個連接器執行個體，則必須在負載平衡器上啟用黏性工作階段設定。負載平衡器隨後

會將使用者的工作階段繫結至特定的連接器執行個體。

將 VMware Identity Manager Connector 根憑證套用至負載平衡器

在負載平衡器後方設定 VMware Identity Manager Connector 時，您必須在負載平衡器與連接器之間建立

SSL 信任。連接器根憑證必須複製到負載平衡器來作為信任的根憑證。

VMware Identity Manager Connector 憑證可從 https://connectorFQDN:8443/cfg/ssl 上的連接器管理頁面

下載。

如果連接器網域名稱指向負載平衡器，則只能將 SSL 憑證套用至負載平衡器。

程序

1 以 Admin 使用者身分登入連接器管理頁面 (https://connectorFQDN:8443/cfg/login)。

2 選取安裝 SSL 憑證。

3 在伺服器憑證索引標籤中，按一下應用裝置自我簽署根 CA 憑證欄位中的連結。


VMware, Inc. 39

4 複製 -----BEGIN CERTIFICATE----- 與 -----END CERTIFICATE---- 之間的各行內容，並將根憑證貼到

每個負載平衡器上的正確位置。請參閱負載平衡器說明文件。

後續步驟

將負載平衡器根憑證複製並貼上至 VMware Identity Manager Connector。

將負載平衡器根憑證至套用 VMware Identity Manager Connector在負載平衡器後方設定 VMware Identity Manager Connector 時，您必須在負載平衡器與連接器之間建立信

任。除了將連接器根憑證複製到負載平衡器，您也必須將負載平衡器根憑證複製到連接器。

程序

1 取得負載平衡器根憑證。

2 前往 https://connectorFQDN:8443/cfg/login 上的 VMware Identity Manager Connector 管理頁面，並

以 Admin 使用者身分登入。

3 選取安裝 SSL 憑證 > 受信任的 CA 索引標籤。


VMware, Inc. 40

4 將負載平衡器憑證的文字貼到根憑證或中繼憑證文字方塊中。

5 按一下新增。

將連接器 IdP 主機名稱變更為負載平衡器主機名稱

將 VMware Identity Manager Connector 執行個體新增至負載平衡器之後，您必須將每個連接器之

Workspace IdP 上的 IdP 主機名稱變更為負載平衡器主機名稱。

先決條件

連接器執行個體會設定於負載平衡器後方。確認負載平衡器連接埠是 443。請勿使用 8443，因為此連接埠

號碼是管理連接埠。

程序

1 登入 VMware Identity Manager 管理主控台。

2 按一下身分識別與存取管理索引標籤。


4 在 [身分識別提供者] 頁面中，按一下連接器執行個體的 Workspace IdP 連結。

5 在 IdP 主機名稱文字方塊中，將主機名稱從連接器主機名稱變更為負載平衡器主機名稱。

例如，如果您的連接器主機名稱為 myconnector，而您的負載平衡器主機名稱為 mylb，請變更 URL

myconnector.mycompany.com:port


VMware, Inc. 41

變更為下列：

mylb.mycompany.com:port


VMware, Inc. 42

其他 VMware Identity ManagerConnector 設定 7初始 VMware Identity Manager Connector 組態完成後，您可以隨時移至連接器管理頁面來進行安裝憑

證、管理密碼及下載記錄檔等工作。

VMware Identity Manager Connector 管理頁面可從 https://connectorFQDN:8443/cfg/login 存取，例如

https://myconnector.example.com:8443/cfg/login。以連接器管理員使用者的身分，並使用您在安裝連接器

時所建立的管理員密碼登入。

表格 7‑1. 連接器設定

選項說明

安裝 SSL 憑證在此頁面的索引標籤上，您可以安裝連接器的 SSL 憑證、下載

自我簽署的根憑證，以及安裝受信任的根憑證。

設定 Syslog 在此頁面上，如果您要讓連接器應用裝置記錄傳送至外部伺服

器，則可以啟用外部 Syslog 伺服器。

變更密碼在此頁面上，您可以變更連接器的管理員密碼。

Proxy 組態在此頁面上，您可以設定連接器的 Proxy 設定。

記錄檔位置在此頁面上，您可以建立及下載連接器記錄檔的服務包。


n 針對 VMware Identity Manager Connector 使用 SSL 憑證

n 設定 VMware Identity Manager Connector 的 Syslog 伺服器

n 管理您的 VMware Identity Manager Connector 密碼

n 設定 VMware Identity Manager Connector 的 Proxy 設定

n 檢視或下載 VMware Identity Manager Connector 記錄檔

n 為 VMware Identity Manager Connector 設定時間同步化 (Windows)

針對 VMware Identity Manager Connector 使用 SSL 憑證安裝 VMware Identity ManagerConnector 後，系統會自動產生預設的自我簽署 SSL 伺服器憑證。在多數

情況下，您可以繼續使用此自我簽署憑證。

以輸出模式部署連接器時，使用者並不會直接存取連接器，因此不需要安裝公開憑證授權機構 (CA) 簽署的

SSL 憑證。針對管理員對連接器的存取，您可以繼續使用預設的自我簽署憑證，或使用內部 CA 產生的憑

證。

VMware, Inc. 43

但是，如果您在連接器上啟用 KerberosIdpAdapter 以設定用於內部使用者的 Kerberos 驗證，使用者將會

建立連接器的 SSL 連線，因此連接器必須具有已簽署的 SSL 憑證。請使用內部 CA 產生 SSL 憑證。

如果您設定 Kerberos 驗證的高可用性，則連接器執行個體前方需要負載平衡器。在此情況下，負載平衡器

和所有連接器執行個體皆必須具有已簽署的 SSL 憑證。請使用內部 CA 產生 SSL 憑證。對於負載平衡器

憑證，請使用設定於 Workspace IdP 組態頁面中的 Workspace IdP 主機名稱作為主體 DN 一般名稱。對於

各個連接器執行個體憑證，請使用連接器主機名稱作為主體 DN 一般名稱。或者，您可以使用 WorkspaceIdp 主機名稱作為主體 DN 一般名稱，並以所有連接器主機名稱和 Workspace Idp 主機名稱作為主體別名

(SAN) 以建立單一憑證。

為連接器安裝已簽署的 SSL 憑證

您可以從連接器管理頁面為 VMware Identity Manager Connector 安裝已簽署的 SSL 憑證，網址為

https://connectorFQDN:8443/cfg/login。

請參閱針對 VMware Identity Manager Connector 使用 SSL 憑證，以瞭解在哪些案例中需要已簽署的 SSL憑證。

先決條件

產生憑證簽署要求 (CSR)，並取得已簽署的 SSL 憑證。憑證必須採用 PEM 格式。

程序

1 以管理員使用者身分登入連接器管理頁面，網址為 https://connectorFQDN:8443/cfg/login。

2 按一下安裝 SSL 憑證。

3 在伺服器憑證索引標籤中，針對 SSL 憑證欄位選取自訂憑證。

4 在 SSL 憑證鏈結文字方塊中，依序貼上伺服器憑證、中繼憑證和根憑證。

您必須以正確的順序包含整個憑證鏈結。針對每個憑證，複製 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之間的所有內容 (包括這兩行)。

5 在私密金鑰文字方塊中，貼上私密金鑰。複製 ----BEGIN RSA PRIVATE KEY 與 ---END RSAPRIVATE KEY 之間的內容。


範例：憑證範例

憑證鏈結範例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----



VMware, Inc. 44

憑證鏈結範例

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


私密金鑰範例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

下載連接器的自我簽署根 CA 憑證

如果您在連接器安裝時使用依預設產生的自我簽署 SSL 憑證來部署連接器，請在任何存取該連接器的用戶

端上安裝連接器的自我簽署根 CA 憑證。您可以從 VMware Identity Manager 管理主控台下載根 CA 憑證。

程序

1 以管理員使用者身分登入 VMware Identity Manager 連接器管理頁面，網址為 https://connectorFQDN:8443/cfg/login。

2 按一下安裝 SSL 憑證。

3 在伺服器憑證索引標籤中，按一下應用裝置自我簽署根 CA 憑證欄位中的連結。

憑證隨即顯示。

4 複製整段文字，包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 這兩行在

內。

在連接器上安裝受信任的根憑證

安裝 VMware Identity Manager Connector 應信任的根憑證或中繼憑證。連接器將能夠對憑證鏈結包含任

何此類憑證的伺服器建立安全連線。


VMware, Inc. 45

在下列情況下，您將需要在連接器上安裝受信任的根憑證：

n 如果您為了 Kerberos 驗證的高可用性而設定了負載平衡器，請在連接器執行個體上安裝負載平衡器的

根 CA 憑證，以建立連接器與負載平衡器之間的信任。

程序


2 按一下安裝 SSL 憑證，然後選取受信任的 CA 索引標籤。

3 在文字方塊中貼上根憑證或中繼憑證。

包含 -----BEGIN CERTIFICATE----- 與 -----END CERTIFICATE---- 之間的所有內容 (包括這兩行)。


設定 VMware Identity Manager Connector 的 Syslog 伺服器服務的應用程式層級事件可匯出至外部 Syslog 伺服器。作業系統事件則不會匯出。

由於大部分的公司都沒有無限的磁碟空間，因此虛擬應用裝置不會儲存完整的記錄歷程。如果您想要儲存

更多歷程，或為您的記錄歷程建立集中位置，您可以設定外部 Syslog 伺服器。

先決條件

n 設定外部 Syslog 伺服器。您可以使用任何可用的標準 Syslog 伺服器。有數種 Syslog 伺服器具有進階

搜尋功能。

n 確定連接器可透過連接埠 514 (UDP) 連線至 Syslog 伺服器。

程序


2 選取左窗格中的設定 Syslog。

3 按一下啟用。

4 輸入要用來儲存記錄之 Syslog 伺服器的 IP 位址或 FQDN。


記錄的複本會傳送至 Syslog 伺服器。

管理您的 VMware Identity Manager Connector 密碼安裝 VMware Identity Manager Connector 時，您已建立 Admin 使用者的密碼。您可以從連接器管理頁面

變更此密碼。

重要請務必建立強式密碼。強式密碼的長度至少要有八個字元，並且包含大寫和小寫字元，以及至少一

個數字或特殊字元。

程序



VMware, Inc. 46

2 按一下變更密碼。

3 輸入舊密碼和新密碼。

重要管理員使用者密碼的長度至少必須為 6 個字元。


設定 VMware Identity Manager Connector 的 Proxy 設定VMware Identity Manager Connector 會存取網際網路上的 Web 服務。如果您的網路組態可透過 HTTPProxy 提供網際網路存取，則必須調整 VMware Identity Manager Connector 上的 Proxy 設定。

備註啟用 Proxy 以僅處理網際網路流量。若要確認 Proxy 設定是否正確，請將內部流量的參數設定為在

網域內不使用 Proxy。

程序

1 使用瀏覽器前往位於 https://connectorhostname:8443/cfg/login 的 VMware Identity ManagerConnector 管理頁面。

2 使用連接器管理員使用者密碼登入。

3 按一下 Proxy 組態。

4 選取啟用。

5 在具有連接埠的 Proxy 主機文字方塊中，輸入 Proxy 伺服器主機名稱和連接埠。

例如：proxy.example.com:3128

6 在非 Proxy 的主機欄位中，輸入連接器不需經由 Proxy 伺服器即可存取的主機。

使用逗點來分隔主機名稱的清單。


檢視或下載 VMware Identity Manager Connector 記錄檔VMware Identity Manager Connector 記錄檔可協助您進行偵錯並疑難排解問題。您可以在

InstallDirectory\VMware Identity Manager\Connector\opt\vmware\horizon\workspace\logs

目錄中找到記錄檔。

下列是最具相關性的記錄檔。


VMware, Inc. 47

表格 7‑2. 記錄檔

元件 Windows 上的記錄檔位置說明

設定程式記錄 InstallDirectory\VMware

Identity

Manager\Connector\opt\vmware\h

orizon\workspace\logs\configur

ator.log

設定程式從 REST 用戶端和 Web 介面收到

的要求。

連接器記錄 InstallDirectory\VMware

Identity


orizon\workspace\logs\connecto

r.log

從 Web 介面收到的每個要求的記錄。每個

記錄項目也包含要求 URL、時間戳記和例外

狀況。不會記錄同步動作。

InstallDirectory\VMware

Identity


orizon\workspace\logs\connecto

r-dir-sync.log

目錄同步的相關訊息。

Apache Tomcat 記錄

InstallDirectory\VMware

Identity


orizon\workspace\logs\catalina

.log

其他記錄檔中未記錄的 Apache Tomcat 訊息記錄。

您也可以從 https://connectorhostname:8443/cfg/login 的 VMware Identity Manager Connector 管理頁面下

載記錄檔服務包。以管理員使用者身分登入，然後按一下記錄檔位置。

下載記錄服務包

您可以從連接器管理頁面下載 VMware Identity Manager Connector 的記錄檔服務包。記錄檔可協助您進

行偵錯並疑難排解問題。

若要從環境中的每個連接器執行個體收集記錄，請登入各個執行個體的管理頁面。

程序

1 以 Admin 使用者身分登入 https://connectorFQDN:8443/cfg/login 上的 VMware Identity ManagerConnector 管理頁面。

2 按一下記錄檔位置，然後按一下準備記錄服務包。

資訊會收集到 zip 檔案中供您下載。

3 下載記錄服務包。

將 VMware Identity Manager Connector 記錄層級設為 DEBUG您可以將記錄層級設為 DEBUG，以記錄其他有助於進行問題偵錯的資訊。


VMware, Inc. 48

程序

1 在安裝連接器的 Windows Server 上，移至 INSTALL_DIR\VMware IdentityManager\Connector\usr\local\horizon\conf\ 目錄。

2 在 cfg-log4j.properties 和 hc-log4j.properties 檔案中更新記錄層級；這些檔案最常用於連接

器的 log4j 檔案。

a 編輯檔案。

b 在將記錄層級設為 INFO 的行中，將 INFO 取代為 DEBUG。

例如，將以下一行：

rootLogger.level=INFO

變更為：

rootLogger.level=DEBUG

c 儲存檔案。

您不需要重新啟動服務或系統。

為 VMware Identity Manager Connector 設定時間同步化(Windows)必須在 VMware Identity Manager 服務和連接器的所有執行個體上設定時間同步化，

VMware Identity Manager 部署才能正常運作。若要設定 VMware Identity Manager Connector 的時間同步

化 (Windows)，您可以使用 VMware Identity Manager 主控台中的應用裝置設定 > 管理組態 > 時間同步化

索引標籤。

您可以將 VMware Identity Manager Connector 時鐘與 ESXi 主機或與網路時間通訊協定 (NTP) 伺服器同

步。依預設，VMware Identity Manager Connector 會設為與主機同步。如果您的連接器 Windows 機器未

在 ESXi 主機上執行，則主機時間同步化選項不適用，且您必須選取 NTP 選項，或直接在 Windows 機器

上設定時間同步化。

請遵循下列準則：

n 最佳做法是，如果 VMware Identity Manager Connector 執行個體能存取 NTP 伺服器，則與 NTP 伺服

器同步時間。否則，請與 ESXi 主機同步時間，並將 ESXi 主機設定為與 NTP 伺服器同步時間。

備註如果您的連接器 Windows 機器未在 ESXi 主機上執行，則請選取 NTP 選項，或直接在

Windows 機器上設定時間同步化。

n 如果您的部署包含不同主機上的 VMware Identity Manager 服務或連接器執行個體，則最佳做法是直接

與 NTP 伺服器進行時間同步化，而非與主機同步，以確保執行個體之間不會發生時間偏離。

先決條件

如果連接器 Windows 機器是在 ESXi 主機上執行，且您想要使用主機時間同步化選項，請在 Windows 機器上安裝 VMware Tools。


VMware, Inc. 49

程序


2 按一下左窗格中的時間同步化。

3 選取時間同步化選項。

選項說明

NTP 將 VMware Identity Manager Connector 系統時鐘與 NTP 伺服器同步。預設的

NTP 伺服器為 time.nist.gov。若要使用其他 NTP 伺服器，請在 NTP 伺服器文字

方塊中輸入其完整網域名稱 (FQDN)。例如：

ntpserver.example.com

主機時間如果適用，請將 VMware Identity Manager Connector 系統時鐘與 ESXi 主機同

步。這是預設設定。



VMware, Inc. 50

升級 VMware Identity ManagerConnector (Windows) 8若要升級 VMware Identity Manager Connector (Windows)，您可以從 My VMware 或 My Workspace ONE下載新版本的安裝程式，並執行安裝程式。您不需要解除安裝舊版本。

升級之後，您不需為 VMware Identity Manager Connector 產生新的啟動碼或再次加以啟動。您現有的組

態會套用至已升級的連接器。

程序

1 從 My VMware 或 My Workspace ONE 下載 Windows 版 VMware Identity Manager Connector 安裝程

式。

從 My VMware 取得安裝程式：

a 登入 My VMware。

b 從 VMware Identity Manager 下載頁面下載 Windows 版 VMware Identity Manager Connector 安裝程式。

2 將安裝程式檔案儲存在安裝舊版連接器所在的相同 Windows 伺服器上。

3 執行安裝程式，並依照提示完成升級。

備註在升級期間，如果安裝程式在 Windows Server 上偵測到比安裝程式隨附版本低的 JRE 版本，

則系統會提示您安裝新的 JRE 版本。

4 如果 JRE 在連接器升級期間也進行升級，在升級完成後請將 Windows Server 重新開機。

將伺服器重新開機時，系統會將 JAVA_HOME 變數設為升級時所安裝的最新 JRE，讓連接器能夠使用

最新的 JRE。

VMware, Inc. 51

升級 VMware Identity ManagerConnector 伺服器上的 Java 9VMware Identity Manager Connector 需要 Java Runtime Environment (JRE)。

連接器所需的 JRE 版本隨附於 VMware Identity Manager Connector 安裝程式中。升級連接器時，系統會

提示您一併升級 JRE 版本。如需在執行安裝程式時升級 JRE 的相關資訊，請參閱第 8 章，升級 VMwareIdentity Manager Connector (Windows)。

如果您想於任何其他時間在連接器伺服器上升級 JRE，請執行下列步驟，以確保 VMware IdentityManager Connector 在 JRE 升級後可繼續正常運作。

備註此程序適用於 VMware Identity Manager Connector 3.2.0.1 版及更新版本。

備註如果 JRE 自動進行升級，請在升級之後執行步驟 3 至 4。

程序

1 停止 VMware IDM Connector 服務。

2 安裝新的 JRE 版本。

3 更新 JAVA_HOME 環境變數以指向新的 JRE。

4 重新啟動 VMware IDM Connector 服務。

VMware, Inc. 52

刪除 VMware Identity ManagerConnector 執行個體 10您可以從 VMware Identity Manager 服務中刪除 VMware Identity Manager Connector 執行個體。連接器執

行個體若具有相關聯的目錄，則無法刪除。

例如，當您想要讓新的連接器執行個體使用相同的主機名稱時，即可能會選擇刪除連接器執行個體。

程序

1 登入 VMware Identity Manager 管理主控台。

2 選取身分識別與存取管理索引標籤，然後按一下設定。

3 如果某個目錄與您要刪除的連接器相關聯，請先刪除該目錄。

a 在關聯的目錄資料行中，按一下目錄名稱。

b 按一下刪除目錄。

4 在設定 > 連接器頁面中，按一下您要刪除的連接器執行個體旁的刪除圖示，然後按一下確認。

連接器執行個體會從 VMware Identity Manager 服務中刪除。

5 從安裝 VMware Identity Manager Connector 的 Windows Server 中解除安裝該元件。

VMware, Inc. 53

將目錄從 ACC 移轉到VMware Identity ManagerConnector 11已經使用 AirWatch Cloud Connector (ACC) 部署與 VMware Identity Manager 進行 Active Directory 同步

化的 Workspace ONE 客戶，如果想要使用 VMware Identity Manager Connector 隨附的其他功能，則必

須依照移轉程序操作。這個一次性的程序會將「其他」類型的 ACC 目錄轉換為 Active Directory overLDAP 或透過整合式 Windows 驗證的 Active Directory 類型的目錄，這些類型的目錄會與 VMware IdentityManager Connector 相關聯。此程序並不會移除現有目錄或與其相關聯的任何權利。

「其他」目錄的轉換包括下列工作。

1 將其他目錄轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。

2 視需要為目錄設定其他 VMware Identity Manager 連接器驗證方法。依預設會提供密碼驗證方法。

3 編輯預設原則和和任何自訂原則，以使用 [密碼] 或其他 VMware Identity ManagerConnector 驗證方

法，而非 [密碼 (AirWatch Connector)]。

4 停止將使用者和群組從 AirWatch 同步至 VMware Identity Manager 目錄。


n 將其他目錄轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory

n 停止將目錄從 Workspace ONE UEM 同步至 VMware Identity Manager

將其他目錄轉換為 Active Directory over LDAP 或透過整合式Windows 驗證的 Active Directory您可以將「其他」類型的目錄 (儲存從 Workspace ONE UEM 同步的使用者和群組) 轉換為 ActiveDirectory over LDAP 或透過整合式 Windows 驗證的 Active Directory 類型的目錄，這些類型的目錄會與

VMware Identity Manager Connector 相關聯。轉換目錄後，系統會使用 VMware Identity ManagerConnector (而非 ACC) 將使用者和群組從您的企業目錄同步至 VMware Identity Manager。

先決條件

n 安裝並啟動 VMware Identity Manager Connector。

若要使用某些功能，您必須將 Windows Server 加入至網域，且您必須以 Windows Server 上屬於管理

員群組的網域使用者身分來安裝 VMware Identity Manager Connector，並選擇以 Windows 網域使用

者的身分執行 IDM Connector 服務。

VMware, Inc. 54

此需求適用於下列情況。

n 如果您計劃要將其他目錄轉換為透過整合式 Windows 驗證的 Active Directory


n 如果您計劃要整合 Horizon View 與 VMware Identity Manager，並且要使用 [執行目錄同步] 或 [設定 5.x 連線伺服器] 選項

n 下列是必要的 Active Directory 資訊：

n 如果您要轉換為 Active Directory over LDAP，則需要基準 DN、繫結 DN 和繫結 DN 密碼。建議您

使用繫結 DN 使用者帳戶與不會到期的密碼。

n 如果您要轉換為透過整合式 Windows 驗證的 Active Directory，則需要網域的繫結使用者 UPN 位址和密碼。建議您使用繫結 DN 使用者帳戶與不會到期的密碼。

n 如果 Active Directory 需要透過 SSL 或 STARTTLS 存取，則需要 Active Directory 網域控制站的根

CA 憑證。

n 對於透過整合式 Windows 驗證的 Active Directory，如果您已設定多樹系 Active Directory 並且網

域本機群組包含來自不同樹系中網域的成員，請確保已將繫結使用者新增至網域本機群組所在網域

的管理員群組。如果未這麼做，網域本機群組中會遺失這些成員。

程序

1 在 VMware Identity Manager 管理主控台中，依序按一下身分識別與存取管理索引標籤和目錄索引標

籤。

2 按一下您要轉換的目錄。

3 在 [目錄] 頁面中，按一下轉換按鈕。

4 在 [新增目錄] 頁面中，視需要變更目錄的名稱，然後選取您要將「其他」目錄轉換為哪種類型的目

錄，即 Active Directory over LDAP 或 Active Directory (整合式 Windows 驗證)。

5 輸入 Active Directory 連線資訊，然後繼續執行精靈以設定目錄。

如需相關資訊，請參閱《目錄與 VMware Identity Manager 的整合》指南中的〈設定服務的 ActiveDirectory 連線〉。

請遵循下列準則。

n 在同步連接器欄位中，選取您已安裝的 VMware Identity Manager Connector。

n 在目錄同步與驗證區段中，除非您要使用第三方身分識別提供者 (而非連接器) 進行驗證，否則請

針對驗證選取是。

n 確定您已將轉換後的目錄設定為與 Workspace ONE UEM 目錄相同，使其具有相同的目錄結構。

選取相同網域。當您指定要同步的使用者和群組時，請選取與 Workspace ONE UEM 目錄相同的

項目，使相同的使用者和群組同步至轉換後的目錄。

6 在精靈的最後一個頁面上，按一下同步目錄。

目錄會進行轉換，且設定為使用 VMware Identity ManagerConnector。如果 Workspace 身分識別提供

者尚未存在，則系統會加以建立，且目錄會自動與其建立關聯。已針對目錄啟用密碼驗證方法。


VMware, Inc. 55

7 (選用) 若要為目錄啟用其他驗證方法，請遵循下列步驟。

a 在身分識別與存取管理索引標籤中，按一下設定。

b 在 [連接器] 頁面上，找出連接器以及與轉換目錄相關聯的 Worker，然後按一下 Worker 資料行中

的連結。

c 在 [Worker] 頁面中，按一下驗證配接器索引標籤。

d 按一下每個驗證配接器的連結，並輸入組態資訊，以設定並啟用要用於目錄的驗證配接器。

如需設定驗證配接器的相關資訊，請參閱《VMware Identity Manager 管理》。

8 編輯 default_access_policy_set 和任何自訂原則以選取 VMware Identity ManagerConnector 驗證方

法，而非 [密碼 (AirWatch Connector)]。

a 在身分識別與存取管理索引標籤中，按一下原則索引標籤。

b 按一下編輯預設原則。

c 按一下組態。

d 編輯每個原則規則並將密碼 (AirWatch Connector) 驗證方法取代為密碼，此為

VMware Identity Manager Connector 驗證方法。

e 再次按一下原則索引標籤並編輯自訂原則 (若有)，以使用 [密碼] 或您所設定的任何其他

VMware Identity Manager Connector 驗證方法。

重要若未將 [密碼 (Airwatch Connector)] 變更為 [密碼] 或其他以

VMware Identity ManagerConnector 為基礎的驗證方法，轉換後目錄的使用者將無法登入。

後續步驟

停止將目錄從 Workspace ONE UEM 同步至轉換後的目錄。

停止將目錄從 Workspace ONE UEM 同步至 VMware IdentityManager在您將其他目錄轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory，並使

其與 VMware Identity Manager Connector 建立關聯後，該 VMware Identity Manager Connector 會用來將

使用者和群組從您的企業目錄同步至轉換後的目錄。您必須停止將使用者和群組從 Workspace ONE UEM同步至 VMware Identity Manager 目錄。

程序

1 在 Workspace ONE UEM 主控台中，導覽至您的 [組織群組]。

2 導覽至群組和設定 > 所有設定 > 系統 > 企業整合 > VMware Identity Manager 頁面。

3 按一下位於頁面底部的刪除按鈕。


VMware, Inc. 56

目錄轉換即會完成。現在 VMware Identity Manager Connector 會將使用者和群組從您的企業目錄同步至

VMware Identity Manager 服務。使用者可繼續登入並存取其應用程式。

備註如果顯示在登入頁面上的網域名稱與網域 NetBIOS 名稱不同，則在目錄轉換後，該網域名稱可能會

有所不同。執行 Workspace ONE UEM 同步後，系統會顯示網域 NetBIOS 名稱。執行 VMware IdentityManager Connector 同步後，即會顯示網域名稱。


VMware, Inc. 57

疑難排解 VMware IdentityManager Connector 12疑難排解主題說明在 Windows 上安裝與管理 VMware Identity Manager Connector 的常見問題和解決方

案。


n 重設 VMware Identity Manager Connector 的管理員使用者密碼

n Kerberos 初始化錯誤

重設 VMware Identity Manager Connector 的管理員使用者密碼您可以從連接器管理頁面變更 VMware Identity Manager Connector 管理員使用者密碼，網址為：

https://connectorFQDN:8443/cfg/login。但是，如果您無法登入且必須重設密碼，可以使用

hznSetAdminPassword.bat 指令碼來重設密碼。

程序

1 在 Windows Server 中，開啟命令提示字元視窗。

2 導覽至 INSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\bin 資料夾：

cd INSTALL_DIR\VMware Identity Manager\Connector\usr\local\horizon\bin

其中 INSTALL_DIR 為 VMware Identity Manager Connector 安裝目錄。

3 執行下列命令：

hznSetAdminPassword.bat newPassword

Kerberos 初始化錯誤

當您設定 Kerberos 驗證配接器時收到錯誤，指出 Kerberos 初始化失敗。

問題

在安裝 VMware Identity Manager Connector 期間，如果您未選取您要以網域使用者帳戶的身分執行 IDMConnector 服務嗎? 選項，或者您選取了選項但指定了在 Active Directory 中不具有「建立、刪除和管理使

用者帳戶」權限的網域帳戶，便無法在安裝後初始化 Kerberos。在您嘗試設定 Kerberos 驗證配接器時，

收到指出 Kerberos 初始化失敗的錯誤。

VMware, Inc. 58

解決方案

使用具有較高權限的使用者帳戶來執行 setupkerberos.bat 指令碼。使用下列帳戶：

n 網域使用者

n 具有在 Active Directory 中「建立、刪除和管理使用者帳戶」的權限 (管理員使用者和帳戶操作員群組

的成員具有這些權限)

n 在 VMware Identity Manager Connector 安裝所在的 Windows Server 上屬於管理員群組

具有較高權限的這個使用者帳戶僅需要用來暫時執行指令碼，不會儲存或再次用於連接器服務。在您執行

指令碼之後，可以繼續使用原本使用的原始使用者帳戶來設定 Kerberos 驗證配接器。

若要執行指令碼：

1 登入 Windows 連接器機器，然後導覽至 InstallDir\VMware IdentityManager\Connector\usr\local\horizon\scripts 目錄。

2 在 setupkerberos.bat 上按一下滑鼠右鍵，然後選取以系統管理員身分執行。

3 輸入具有較高權限的使用者帳戶，如上所述。

成功執行指令碼之後，隨即顯示確認訊息

4 以您原本使用的原始使用者帳戶來登入 VMware Identity Manager 主控台，並設定 Kerberos 驗證配接

器。

關於 setupkerberos.bat 指令碼

setupkerberos.bat 指令碼會執行下列工作：

1 建立與機器帳戶相同名稱 (不含 $) 的服務帳戶

2 為帳戶設定隨機密碼

3 為帳戶產生 Keytab 檔案，儲存在 /usr/horizon/conf 中

4 將機器的指定主體對應為帳戶內的 SPN


VMware, Inc. 59

identity manager 安裝和設定 vmware connector 19.03.0.0 ......將其他目錄轉換為 active...

Documents