要为 Kerberos 身份验证配置高可用性,就需要使用负载平衡器。安装并配置 Kerberos 身份验证服务实例后,请在防火墙内的内部网络中安装负载平衡器,然后向其添加 Kerberos 身份验证服务主机。
您还必须在负载平衡器和 Kerberos 身份验证服务主机之间建立 SSL 信任关系,并在 Workspace IDP 中更改用于进行 Kerberos 身份验证的“IdP 主机名”值。
负载平衡器设置
在负载平衡器上配置以下设置:
- 负载平衡器超时
您可能需要延长负载平衡器的请求超时时间,而不采用默认值。该值以分钟为单位。如果超时设置太低,您可能会看到以下错误。
502 错误:此服务当前不可用 (502 error: The service is currently unavailable)
证书要求
安装了 Kerberos 身份验证服务的每个 Workspace ONE Access Connector 都必须具有可信 SSL 证书。虽然您可以使用 Workspace ONE Access Connector 生成的自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。
将 Workspace ONE Access Connector 根证书上载到负载平衡器
要在负载平衡器和 Kerberos 身份验证服务主机之间建立信任关系,请将连接器的根 CA 证书上载到负载平衡器。
如果使用 Workspace ONE Access Connector 生成的自签名证书,则可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per。
将负载平衡器根证书上载到 Workspace ONE Access Connector
要在负载平衡器和 Kerberos 身份验证服务主机之间建立信任关系,请将负载平衡器的根 CA 证书上载到每个 Kerberos 身份验证服务主机。
要上载证书,请运行 Workspace ONE Access Connector 安装程序,并在“安装可信根证书”页面上添加证书。
更新身份验证 URL
- 在 Workspace ONE Access 控制台中,导航到页面。
- 选择配置了 Kerberos 身份验证方法的 Workspace IDP。
- 在 IdP 主机名文本框中,将主机名从连接器主机名更改为负载平衡器主机名。
例如:mylb.example.com
