若要為 Kerberos 驗證設定高可用性,您需要負載平衡器。安裝和設定 Kerberos 驗證服務執行個體之後,請在內部網路中的防火牆內安裝負載平衡器,然後將 Kerberos 驗證服務主機新增至該負載平衡器。

您也必須在負載平衡器與 Kerberos 驗證服務主機之間建立 SSL 信任,然後變更 Workspace IDP 中用於 Kerberos 驗證的 IdP 主機名稱值。

負載平衡器設定

在負載平衡器上設定這些設定:

  • 負載平衡器逾時

    您可能必須將負載平衡器要求逾時從預設值提高。此值以分鐘為單位設定,如果逾時設定太低,您可能會看見下列錯誤。

    502 錯誤:服務目前無法使用

憑證需求

已安裝 Kerberos 驗證服務的每個 Workspace ONE Access Connector 必須具有受信任的 SSL 憑證。雖然您可以使用 Workspace ONE Access Connector 產生的自我簽署憑證進行測試,但對於生產用途,建議您使用由公用或內部 CA 簽署的受信任 SSL 憑證。

Workspace ONE Access Connector 根憑證上傳至負載平衡器

若要在負載平衡器與 Kerberos 驗證服務主機之間建立信任,請將連接器的根 CA 憑證上傳至負載平衡器。

如果您正在使用 Workspace ONE Access Connector 產生的自我簽署憑證,您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per。

將負載平衡器根憑證上傳至 Workspace ONE Access Connector

若要在負載平衡器與 Kerberos 驗證服務主機之間建立信任,請將負載平衡器的根 CA 憑證上傳到每個 Kerberos 驗證服務主機。

若要上傳憑證,請執行 Workspace ONE Access Connector 安裝程式,並在 [安裝受信任的根憑證] 頁面上新增憑證。
安裝精靈中的 [安裝受信任的根憑證] 頁面

更新驗證 URL

  1. 導覽至身分識別提供者頁面。

    在開啟了新增導覽切換的 Workspace ONE Access 雲端承租人中,移至整合 > 身分識別提供者。在 Workspace ONE Access 21.08 虛擬應用裝置中,或在已關閉新增導覽切換的雲端承租人中,移至身分識別與存取管理 > 管理 > 身分識別提供者

  2. 選取已設定 Kerberos 驗證方法的 Workspace IDP。
  3. IdP 主機名稱文字方塊中,將主機名稱從連接器主機名稱變更為負載平衡器主機名稱。

    例如:mylb.example.com