若要為 Kerberos 驗證設定高可用性,您需要負載平衡器。安裝和設定 Kerberos 驗證服務執行個體之後,請在內部網路中的防火牆內安裝負載平衡器,然後將 Kerberos 驗證服務主機新增至該負載平衡器。
您也必須在負載平衡器與 Kerberos 驗證服務主機之間建立 SSL 信任,然後變更 Workspace IDP 中用於 Kerberos 驗證的 IdP 主機名稱值。
負載平衡器設定
在負載平衡器上設定這些設定:
- 負載平衡器逾時
您可能必須將負載平衡器要求逾時從預設值提高。此值以分鐘為單位設定,如果逾時設定太低,您可能會看見下列錯誤。
502 錯誤:服務目前無法使用
憑證需求
已安裝 Kerberos 驗證服務的每個 Workspace ONE Access Connector 必須具有受信任 SSL 憑證。雖然您可以使用 Workspace ONE Access Connector 產生的自我簽署憑證進行測試,但對於生產用途,建議您使用由公用或內部 CA 簽署的受信任 SSL 憑證。
將 Workspace ONE Access Connector 根憑證上傳至負載平衡器
若要在負載平衡器與 Kerberos 驗證服務主機之間建立信任,請將連接器的根 CA 憑證上傳至負載平衡器。
如果您正在使用 Workspace ONE Access Connector 產生的自我簽署憑證,您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per。
將負載平衡器根憑證上傳至 Workspace ONE Access Connector
若要在負載平衡器與 Kerberos 驗證服務主機之間建立信任,請將負載平衡器的根 CA 憑證上傳到每個 Kerberos 驗證服務主機。
若要上傳憑證,請執行 Workspace ONE Access Connector 安裝程式,並在 [安裝受信任的根憑證] 頁面上新增憑證。
![安裝精靈中的 [安裝受信任的根憑證] 頁面](images/GUID-B366715B-C166-4517-A976-696ACB552B9C-low.png)
更新驗證 URL
- 在 Workspace ONE Access 主控台,導覽至頁面。
- 選取已設定 Kerberos 驗證方法的 Workspace IDP。
- 在 IdP 主機名稱文字方塊中,將主機名稱從連接器主機名稱變更為負載平衡器主機名稱。
例如:mylb.example.com
