Zum Konfigurieren der Hochverfügbarkeit für die Kerberos-Authentifizierung ist ein Lastausgleichsdienst erforderlich. Nachdem Sie die Instanzen des Kerberos-Authentifizierungsdiensts installiert und konfiguriert haben, installieren Sie einen Lastausgleichsdienst in Ihrem internen Netzwerk innerhalb der Firewall und fügen die Kerberos-Authentifizierungsdiensthosts hinzu.

Sie müssen auch eine SSL-Vertrauensstellung zwischen dem Lastausgleichsdienst und den Kerberos-Authentifizierungsdiensthosts einrichten und den Wert für den IDP-Hostnamen im Workspace-Identitätsanbieter für Kerberos-Authentifizierung ändern.

Einstellungen für den Lastausgleichsdienst

Konfigurieren Sie diese Einstellungen im Lastausgleichsdienst:

  • Zeitüberschreitung für den Lastausgleichsdienst

    Sie müssen möglicherweise den Zeitüberschreitungswert für die Lastausgleichsdienst-Anforderung erhöhen. Der Wert wird in Minuten angegeben. Wenn der eingestellte Wert für die Zeitüberschreitung zu niedrig ist, wird möglicherweise folgender Fehler angezeigt:

    Fehler 502: Der Dienst ist derzeit nicht verfügbar

Zertifikatanforderungen

Jeder Workspace ONE Access Connector, auf dem der Kerberos-Authentifizierungsdienst installiert ist, muss über ein vertrauenswürdiges SSL-Zertifikat verfügen. Das vom Workspace ONE Access Connector generierte, selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.

Hochladen des Root-Zertifikats von Workspace ONE Access Connector in den Lastausgleichsdienst

Um eine Vertrauensstellung zwischen dem Lastausgleichsdienst und dem Kerberos-Authentifizierungsdiensthost einzurichten, laden Sie das Root-CA-Zertifikat des Konnektors in den Lastausgleichsdienst hoch.

Wenn Sie das von Workspace ONE Access Connector generierte selbstsignierte Zertifikat verwenden, können Sie das Rootzertifikat „root_ca.per“ von INSTALLDIR\Workspace One Access\Kerberos auth Service\conf abrufen.

Hochladen des Root-Zertifikats des Lastausgleichsdiensts in den Workspace ONE Access Connector

Um eine Vertrauensstellung zwischen dem Lastausgleichsdienst und dem Kerberos-Authentifizierungsdiensthost einzurichten, laden Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf jeden Kerberos-Authentifizierungsdiensthost hoch.

Um das Zertifikat hochzuladen, führen Sie das Workspace ONE Access Connector-Installationsprogramm aus und fügen Sie das Zertifikat auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ hinzu.
Seite „Vertrauenswürdiges Rootzertifikat installieren“ im Installationsassistenten

Aktualisieren der Authentifizierungs-URL

  1. Navigieren Sie in der Workspace ONE Access-Konsole zur Seite Identitäts- und Zugriffsmanagement > Verwalten > Identitätsanbieter.
  2. Wählen Sie den Workspace-Identitätsanbieter aus, für den die Kerberos-Authentifizierungsmethode konfiguriert ist.
  3. Ändern Sie im Textfeld IdP-Hostname den Hostnamen vom Konnektor-Hostnamen in den Hostnamen des Lastausgleichsdienstes.

    Beispiel: mylb.example.com