要在 Workspace ONE Access 中为 Kerberos 身份验证配置高可用性,就需要使用负载均衡器。安装并配置 Kerberos 身份验证服务实例后,请在防火墙内的内部网络中安装负载均衡器,然后向其添加 Kerberos 身份验证服务主机。
您还必须在负载均衡器和 Kerberos 身份验证服务主机之间建立 SSL 信任关系,并在 Workspace IDP 中更改用于进行 Kerberos 身份验证的“IdP 主机名”值。
负载均衡器设置
在负载均衡器上配置以下设置:
- 负载均衡器超时
您可能需要延长负载均衡器的请求超时时间,而不采用默认值。该值以分钟为单位。如果超时设置太低,您可能会看到以下错误。
502 错误:此服务当前不可用 (502 error: The service is currently unavailable)
连接器的证书要求
安装了 Kerberos 身份验证服务的每个 Workspace ONE Access Connector 必须具有受信任的 SSL 证书。虽然您可以使用 Workspace ONE Access Connector 生成的自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的受信任 SSL 证书。
将 Workspace ONE Access Connector 根证书上载到负载均衡器
要在负载均衡器和 Kerberos 身份验证服务主机之间建立信任关系,请将连接器的根 CA 证书上载到负载均衡器。
如果使用 Workspace ONE Access Connector 生成的自签名证书,您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
将负载均衡器根证书上载到 Workspace ONE Access Connector
要在负载均衡器和 Kerberos 身份验证服务主机之间建立信任关系,请将负载均衡器的根 CA 证书上载到每个 Kerberos 身份验证服务主机。
要上载证书,请运行
Workspace ONE Access Connector 安装程序,并在“安装可信根证书”页面上添加证书。
更新身份验证 URL
- 选择。
- 选择配置了 Kerberos 身份验证方法的 Workspace IDP。
- 在 IdP 主机名文本框中,将主机名从连接器主机名更改为负载均衡器主机名。
例如:mylb.example.com
注: 如果负载均衡器未在默认端口上运行,请指定端口号。例如, mylb.example.com:443。
