要配置 Workspace ONE Access 服务以便为桌面提供 Kerberos 身份验证,您必须加入域并在连接器上启用 Kerberos 身份验证。

前提条件

  • 安装了 Workspace ONE Access Connector 的 Windows 计算机必须加入域。
  • 您必须在 Windows 计算机上以域用户(属于安装连接器的 Windows 计算机上的管理员组)身份安装了 Workspace ONE Access Connector,并且正在以 Windows 域用户身份运行 Workspace ONE Access Connector 服务。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择设置
  2. 在连接器的“工作线程”列中,单击身份验证适配器
  3. 单击 KerberosIdpAdapter
    您会被重定向到登录页面。
  4. 单击“KerberosldpAdapter”行中的编辑并配置 Kerberos 身份验证页面。
    选项 描述
    名称 名称必填。默认名称为 KerberosIdpAdapter。您可以对此名称进行更改。
    目录 UID 属性 输入包含用户名的帐户属性。
    启用 Windows 身份验证 选择启用 Windows 身份验证以扩展用户浏览器与 Workspace ONE Access 之间的身份验证交互。
    启用 NTLM 仅当您的 Active Directory 基础架构依赖于 NT LAN 管理器 (NT LAN Manager, NTLM) 身份验证时,才为基于 NTLM 协议的身份验证选择启用 NTLM
    启用重定向 如果在群集中配置了多个连接器,并在负载平衡器后面设置了 Kerberos 以实现高可用性,请选择启用重定向,并为“重定向主机名”指定一个值。

    如果只部署了一个连接器,您不需要使用“启用重定向”和“重定向主机名”选项。

    重定向主机名 如果已选择“启用重定向”选项,则需要指定一个值。输入连接器自己的主机名。例如,如果连接器的主机名是 connector1.example.com,请在文本框中输入 connector1.example.com
  5. 单击保存
    注: 如果您收到指示 Kerberos 初始化失败的错误,请参阅 #GUID-5CB85732-229F-4D16-9737-095155143C2E。运行脚本后,请返回到此页面并配置适配器。

下一步做什么

将该身份验证方法添加到默认访问策略。转到“身份和访问管理”>“管理”>“策略”页面,然后编辑默认策略规则,以便将 Kerberos 身份验证方法按照正确的身份验证顺序添加到规则中。