Настройка подсистемы балансировки нагрузки для обеспечения высокой доступности службы проверки подлинности Kerberos

Чтобы настроить высокую доступность для проверки подлинности Kerberos в Workspace ONE Access, требуется подсистема балансировки нагрузки. После установки и настройки экземпляров службы проверки подлинности Kerberos установите подсистему балансировки нагрузки во внутренней сети в защищенной брандмауэром области и добавьте к ней узлы службы проверки подлинности Kerberos.

Кроме того, необходимо установить доверительное отношение SSL между подсистемой балансировки нагрузки и узлами службы проверки подлинности Kerberos, а также изменить значение имени узла поставщика удостоверений в поставщике удостоверений Workspace для проверки подлинности Kerberos.

Параметры подсистемы балансировки нагрузки

Настройте эти параметры в подсистеме балансировки нагрузки:

Время ожидания средства балансировки нагрузки
Заданное по умолчанию время ожидания для запросов средства балансировки нагрузки может понадобиться увеличить. Это значение задается в минутах. Если значение времени ожидания слишком мало, может отобразиться следующее сообщение об ошибке.
```
Ошибка 502. В настоящее время служба недоступна.
```

Требования к сертификату для соединителя

Для каждого соединителя Workspace ONE Access Connector, в котором установлена служба проверки подлинности Kerberos, необходим доверенный сертификат SSL. Хотя для тестирования можно использовать самозаверяющий сертификат, созданный с помощью Workspace ONE Access Connector, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации.

Отправка корневого сертификата Workspace ONE Access Connector в подсистему балансировки нагрузки

Чтобы установить отношения доверия между подсистемой балансировки нагрузки и узлом службы проверки подлинности Kerberos, отправьте сертификат корневого центра сертификации соединителя в подсистему балансировки нагрузки.

При использовании самозаверяющего сертификата, созданного с помощью Workspace ONE Access Connector, можно получить корневой сертификат root_ca.per из INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Отправка корневого сертификата подсистемы балансировки нагрузки в Workspace ONE Access Connector

Чтобы установить отношения доверия между подсистемой балансировки нагрузки и узлом службы проверки подлинности Kerberos, отправьте сертификат корневого центра сертификации подсистемы балансировки нагрузки на каждый служебный узел проверки подлинности Kerberos.

Чтобы отправить сертификат, запустите установщик Workspace ONE Access Connector и добавьте сертификат на странице «Установка доверенных корневых сертификатов».
Страница «Установка доверенного корневого сертификата» в мастере установки

Страница «Установка доверенного корневого сертификата» в мастере установки

Обновление URL-адреса проверки подлинности

Выберите Интеграции > Поставщики удостоверений.
Выберите поставщик удостоверений Workspace, в котором настроен метод проверки подлинности Kerberos.
В текстовом поле Имя узла поставщика удостоверений измените имя узла соединителя на имя узла подсистемы балансировки нагрузки.
Пример: mylb.example.com

Примечание: Если подсистема балансировки нагрузки не запущена для порта по умолчанию, укажите номер порта. Пример: mylb.example.com:443.