将 Windows 上的 VMware Identity Manager 19.03 配置导入到 Linux 上的 Workspace ONE Access 20.01 之后,需要在新的 Linux 部署中执行一些迁移后步骤。

过程

  1. 更改默认的 Linux 设备密码。
    1. 使用 vmware 的默认密码登录到主 Workspace ONE Access 节点的配置页面(网址为 https://WS1AccessHostnameFQDN:8443/cfg/certproxy)。
    2. 要更改 admin 密码,请选择更改密码。要更改 rootsshuser 密码,请选择系统安全
      重要事项: 管理员用户密码长度必须至少为 6 个字符。
    3. 输入新密码。
    4. 单击保存
  2. 使用新的管理员密码登录到 Workspace ONE Access 控制台(网址为 https://WS1AccessHostnameFQDN)。
  3. 要确认新创建的 Linux 节点存在且正常运行并且 Windows 节点不再存在,请查看系统诊断信息。
    1. Workspace ONE Access 控制台中,选择仪表板 > 系统诊断仪表板
    2. 确认新的 Linux 节点已列出且状态正常。
      在页面上通过一个框来表示该节点,其中包括节点的 FQDN(如 WS1AccessHostnameFQDN)、运行状况符号和 VA 配置链接。如果运行状况符号为绿色复选标记,则表示该节点处于正常状态。
    3. 确认未列出 Windows 节点。
  4. 如果您的 Windows 部署使用证书(云部署)身份验证,请在 Linux 设备上更新 runtime-config.properties 文件,以便继续使用证书身份验证。
    1. 在 Windows 上登录到 VMware Identity Manager 19.03,并记下 INSTALL_DIR\usr\local\horizon\conf\runtime-config.properties 文件的 components.certauth.port=port_number 设置的证书身份验证 port_number 值。
    2. 登录到 Workspace ONE Access 20.01 for Linux 并编辑 /usr/local/horizon/conf/runtime-config.properties 文件中 components.certauth.port=port_number 设置的 port_number 值,使其与 19.03 值保持一致。
    3. 保存文件。
    4. 重新启动计算机。
      service horizon-workspace restart
  5. 如果 Windows 上的 VMware Identity Manager 19.03 部署使用了证书代理配置,请在 Workspace ONE Access 控制台中配置移动 SSO 页面,以在接受来自以下设备的远程端口文本框中更新批准端点的 IP 地址。
    要访问 移动 SSO 页面,请登录到主节点的 Workspace ONE Access 控制台,然后将 URL 更改为 https:// WS1AccessHostnameFQDN:8443/cfg/certproxy。
  6. 如果您的部署包含单个节点(不含负载均衡器)并且集成了 Horizon,请使用 Workspace ONE Access 服务的新 FQDN 来更新 Horizon 连接服务器。
  7. 如果您的 Windows 部署使用了 HTTP 代理服务器,请在 Linux 系统上使用 YaST 实用程序来启用代理设置。
    迁移过程会将代理详细信息复制到新 Linux 主机的 /usr/local/horizon/bin/proxyConfig.txt 文件中,但不会启用代理设置。要在 Linux 系统上启用代理设置,请执行以下步骤。
    1. 从 vSphere Client,以 root 用户身份登录到 Workspace ONE Access 虚拟设备。
    2. 要运行 YaST 实用程序,请在命令行中输入 YaST
    3. 在左侧窗格中选择网络服务,然后选择代理
    4. HTTP 代理 URLHTTPS 代理 URL 文本框中输入代理服务器 URL。
    5. 选择完成,退出 YaST 实用程序。
    6. 要使用新的代理设置,请在 Workspace ONE Access 虚拟设备上重新启动 Tomcat 服务器。
      service horizon-workspace restart
  8. 如果您的部署包含 Workspace ONE Access 群集,请根据需要克隆 Workspace ONE Access Linux 虚拟设备以创建群集。
  9. Workspace ONE Access 服务配置 SSL 证书。
    默认情况下,会为您的 Workspace ONE Access Linux 部署生成自签名证书,但对于生产环境而言,自签名证书还不够安全。
    • 使用默认的自签名证书。

      仅建议用于测试目的。从新的 Linux 服务节点复制根证书,并将其上载到 连接器 的信任存储区。

    • 上载由公共证书颁发机构 (CA) 签名的 SSL 证书。

      建议用于生产环境。有关为 Workspace ONE Access 服务安装 SSL 证书的信息,请参阅《安装和配置 VMware Workspace ONE Access》指南。

  10. 如果您的部署包含单个节点但不含负载均衡器,请执行以下步骤。
    1. 如果在 Linux 节点上使用的 FQDN 与 Windows 节点上使用的 FQDN 不同(首选做法),请下载并运行相应脚本,以使用新的服务主机名来更新连接器实例。
      1. 从 My VMware 站点(网址为 my.vmware.com)上的 Workspace ONE Access 20.01 下载页面中,将更新连接器配置脚本下载到 INSTALL_DIR/Connector/support 目录。其中 INSTALL_DIR 是安装目录的占位符。

        该文件下载后的文件名为 update-fqdn-configstate.tgz

      2. 解压缩 update-fqdn-configstate.tgz 文件。
      3. 运行 update-fqdn-configstate.bat 命令,然后按照提示提供旧主机名和新主机名。
    2. 重新启动连接器实例。
      例如,使用 Windows 服务窗口,选择 VMware IDM Connector,然后单击“ 重新启动此服务”。
    3. 启用新的 Workspace ONE 门户
      1. 登录到 Workspace ONE Access 控制台(网址为 https://WS1AccessHostnameFQDN/admin)。
      2. 选择目录 > 设置
      3. 选择左侧窗格中的新最终用户门户 UI,然后单击启用新门户 UI

后续步骤

确认部署按预期运行。例如,确认用户可以登录到 Workspace ONE 门户 并访问应用程序。

注: 由于预期的通信通道延迟,因此以下类型的远程身份验证可能需要几分钟时间才能正常运行。
  • 密码(云部署)
  • RADIUS(云部署)
  • RSA SecurID(云部署)
等待重新建立通信通道,或者通过重新启动 连接器实例来重新建立通信。

此外,还要确认其他功能(如策略)按预期运行。请参阅《VMware Workspace ONE Access 管理》。