要安装目录同步、用户身份验证、Kerberos 身份验证或虚拟应用程序服务,请在满足所有要求的 Windows 服务器上运行 Workspace ONE Access Connector 安装程序,然后选择要安装的服务。
您可以选择使用快速默认安装(对大多数设置使用默认值),也可以选择使用自定义安装(可以配置各种设置)。
| 默认安装 | 自定义安装 |
|---|---|
使用以下默认端口:
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
|
可为企业服务指定自定义端口
注: 这些是用于运行服务的端口。仅 Kerberos 身份验证服务端口需要入站连接。
|
| 自动为连接器生成自签名证书 | 可为连接器安装可信 SSL 证书(Kerberos 身份验证服务需要此证书) |
| 可将可信根证书上载到信任存储区 | |
| 可配置代理服务器 | |
| 可配置 syslog 服务器 |
无论您选择何种类型的安装,都可以稍后再次运行安装程序,并根据需要修改所有设置。
在安装过程中,还会在服务器上安装 OpenJDK 11。
前提条件
- 请参阅安装 Workspace ONE Access Connector 的必备条件(仅限 Workspace ONE Access 云部署版本)。
- 在安装过程中,您需要从 Workspace ONE Access 控制台下载文件。您可能需要使用 Internet Explorer 以外的浏览器下载文件。Internet Explorer 的默认设置可能会阻止您下载文件。
过程
- 在“欢迎”页面中,遵循发行说明链接,查看发行说明和 VMware 产品互操作性列表,然后再单击下一步。
- 在问题提示中,确认您已阅读发行说明并且已查看互操作性列表,然后单击是。
- 阅读并接受许可协议,然后单击下一步。
- 选择要安装的服务。
默认情况下,服务安装在 C:\Program Files 中。要更改安装文件夹,请单击 更改,然后选择文件夹。 - 在“指定配置文件”页面上,执行以下操作。
- 选择从 Workspace ONE Access 控制台下载的配置文件。
如果配置文件与安装程序位于同一文件夹中,并且具有默认名称 es-config.json,则该文件会自动显示在文本框中。
- 输入在生成配置文件时为其设置的密码。
- 如果要在 FIPS 模式下安装连接器,请选中启用 FIPS 复选框。
FIPS 指的是联邦信息处理标准,它规定了加密模块的安全要求。在选择此选项之前,请参阅 Workspace ONE Access Connector 和 FIPS 模式(仅限 Workspace ONE Access FedRAMP),以了解 FIPS 模式的要求。小心:
- 仅 Workspace ONE Access FedRAMP 租户支持处于 FIPS 模式的 Workspace ONE Access Connector。其他类型的租户和内部部署 Workspace ONE Access 安装则不支持处于 FIPS 模式的连接器。
- 如果要从旧版 19.03.x Connector 迁移到 22.05 Connector,请不要选择启用 FIPS 选项。如果迁移或升级到 22.05 Connector,则不支持 FIPS 模式。仅新的连接器安装才支持此模式。
- 安装后,无法从 FIPS 模式更改为非 FIPS 模式或从非 FIPS 模式更改为 FIPS 模式。请做出相应的决定。
- 选择从 Workspace ONE Access 控制台下载的配置文件。
- 选择默认或自定义安装。
- 如果选择默认安装,请执行以下步骤。
- (仅限 Kerberos 身份验证服务和虚拟应用程序服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务和虚拟应用程序服务的域用户帐户的用户名和密码。
输入以下格式的用户名:DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。
如果在单击浏览时找不到域或用户,请按上面指定的格式在文本框中键入域或用户。
重要说明: Kerberos 身份验证服务仅在域用户帐户密码中支持以下特殊字符:! ( & % @ / = ? * , .如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
注: 只有在您安装 Kerberos 身份验证服务或虚拟应用程序服务时,才会显示“指定服务帐户”页面。 - 单击下一步。
- 在“准备安装程序”页面中,检查您的选择,然后单击安装。
安装过程需要几分钟时间。小心: 在安装过程结束时,您可能会收到重新启动系统的提示。如果在 19.03.x Connector 服务器上安装连接器以作为连接器迁移的一部分,请不要重新启动系统。只有在整个连接器迁移过程完成后,才应重新启动系统。
- (仅限 Kerberos 身份验证服务和虚拟应用程序服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务和虚拟应用程序服务的域用户帐户的用户名和密码。
- 如果选择自定义安装,请执行以下步骤。
- 在“指定代理服务器信息”页面上,根据需要输入代理服务器。
企业服务需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须输入代理服务器。有关支持的代理的信息,请参阅 Workspace ONE Access Connector 22.05 系统要求(仅限 Workspace ONE Access 云部署版本)。
您还可以指定非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机)的列表。
- 选中启用代理复选框。
- 输入指定作为代理服务器的完全限定域名 (Fully Qualified Domain Name, FQDN) 或 IP 地址的主机名。
- 输入代理服务器端口。
- 如果要指定任何非代理主机(即,应当在不通过代理服务器的情况下直接访问的主机),请在非代理主机文本框中输入 FQDN 或 IP 地址。具体格式如下,每个条目以 | 分隔:
host1|host2
- 如果代理服务器要求进行身份验证,请选择基本并输入代理服务器的用户名和密码。
- 单击下一步。
- 在“指定 Syslog 服务器”页面上,如果要使用一个或多个外部 syslog 服务器存储应用程序级别的事件消息,请选择启用 Syslog 选项,然后输入每个 syslog 服务器的 IP 地址或 FQDN 以及端口。
要指定单个 syslog 服务器,请使用以下格式:
host:port
要指定多个 syslog 服务器,请使用以下格式:
host:port,host:port,host:port
其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:
syslog1.example.com:54
或
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
注: 只能将应用程序级别的事件导出到 syslog 服务器。不会导出操作系统事件。 - 单击下一步。
- 在“安装可信根证书”页面上,根据需要将根或中间 CA 证书上载到信任存储区。
该连接器将能够与服务器和客户端建立安全连接,这些服务器和客户端的证书链包含其中的任何证书。需要将证书上载到信任存储区的场景包括:
- (仅限 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
- (仅限虚拟应用程序服务)如果创建要与 VMware Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 集成的虚拟应用程序集合,并且 Horizon Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,才能在连接器和 Horizon Connection Server 之间建立信任关系。如果 Horizon Server 具有由公共 CA 签名的证书,则无需将证书上载到连接器信任存储区。强烈建议使用由公共 CA 签名的证书。
您也可以在安装后上载可信根证书。
- 单击下一步。
- 检查用于运行企业服务的默认端口,如果其他应用程序正在使用这些端口,则指定其他端口。
Kerberos 身份验证服务端口需要入站连接。用户身份验证、目录同步和虚拟应用程序服务端口不需要入站连接。
- (仅限 Kerberos 身份验证服务)在“Kerberos 身份验证服务的 SSL 证书”页面上,选择要用于连接器服务器的证书。
Kerberos 身份验证服务需要使用由公共或内部 CA 签名的可信 SSL 证书。如果在安装期间未上载可信 SSL 证书,则会自动生成自签名证书。您可以稍后上载可信 SSL 证书。
- 要上载可信 SSL 证书,请选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书文件。
证书文件必须采用 PEM 或 PFX 格式。如果上载 PEM 文件,还要上载私钥。如果上载 PFX 文件,还要指定证书密码。有关证书要求的信息,请参见为 Kerberos 身份验证服务上载 SSL 证书(仅限 Workspace ONE Access 云部署版本)。
- 要使用自动生成的自签名证书,请取消选中是否要使用您自己的 SSL 证书? 复选框。
注: 如果使用 Workspace ONE Access 生成的自签名证书,您需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。在安装后,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。
- 要上载可信 SSL 证书,请选中是否要使用您自己的 SSL 证书? 复选框,单击浏览,然后选择证书文件。
- 单击下一步。
- (仅限 Kerberos 身份验证服务和虚拟应用程序服务)在“指定服务帐户”页面上,指定用于运行 Kerberos 身份验证服务和虚拟应用程序服务的域用户帐户的用户名和密码。
重要说明: Kerberos 身份验证服务仅在域用户帐户密码中支持以下特殊字符:
! ( & % @ / = ? * , .如果密码包含任何其他特殊字符,Kerberos 身份验证服务安装将失败。
输入以下格式的用户名:DOMAIN\Username,例如 EXAMPLE\administrator。或者,单击浏览,然后选择域和用户。
注: 如果在单击 浏览时找不到域或用户,请按上面指定的格式在文本框中键入域或用户。注: 只有在您安装 Kerberos 身份验证服务或虚拟应用程序服务时,才会显示“指定服务帐户”页面。 - 在“准备安装程序”页面中,检查您的选择,然后单击安装。
安装过程需要几分钟时间。小心: 在安装过程结束时,您可能会收到重新启动系统的提示。如果在 19.03.x Connector 服务器上安装连接器以作为连接器迁移的一部分,请不要重新启动系统。只有在整个连接器迁移过程完成后,才应重新启动系统。
- 在“指定代理服务器信息”页面上,根据需要输入代理服务器。
结果
成功安装后,会通过 Workspace ONE Access 租户注册您所安装的企业服务,这些服务也会显示在 Workspace ONE Access 控制台中的“连接器”页面上。
例如:
下一步做什么
- 在 Workspace ONE Access 控制台中,配置已安装的企业服务。有关使用目录同步服务集成目录的信息,请参阅目录与 VMware Workspace ONE Access 的集成。有关使用用户身份验证服务或 Kerberos 身份验证服务配置身份验证的信息,请参见在 VMware Workspace ONE Access 中管理用户身份验证方法。有关使用虚拟应用程序服务集成 Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 和 Citrix 虚拟应用程序的信息,请参阅《在 VMware Workspace ONE Access 中设置资源》。
- (仅限 Kerberos 身份验证服务)如果要在 Kerberos 身份验证服务中使用 Workspace ONE Access 生成的自签名证书,您需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
虽然您可以使用自签名证书进行测试,但对于生产用途,建议使用由公共或内部 CA 签名的可信 SSL 证书。请参阅为 Kerberos 身份验证服务上载 SSL 证书(仅限 Workspace ONE Access 云部署版本)。
