“ 本篇是Connector认证服务的最后一个,Kerberos认证服务。”
Kerberos认证可以给用户带来无缝的体验,由于Kerberos认证的原理,用户需要直接连接到Connector来完成认证,同时,这也是唯一一个服务需要加入域的。Kerberos认证使用WorkspaceIDP。
01
—
架构
大家可能对Kerberos认证相对比较陌生,所以我们先从简单的架构开始。
- 首先部署Kerberos认证服务,连接到AD。
- 其次启用对应的企业认证方式。
- 接着绑定到Workspace IDP,这样可以和用户目录连上。
- 同时可以使用网段来限定可以使用的网络范围。
- 这些都完成后可以在条件访问策略里面去调用它。
- 最后,如果需要高可用,部署更多的Kerberos认证服务就好。
一般来说,我们还会部署外部负载均衡器供访问。
如果单独部署Kerberos 认证服务,所需要的硬件sizing如下:
同样,我们建议增加Connector的方式,而不建议通过增加硬件来获取更高的负载。
如果需要和其他认证服务一起,那么可以参考下图:
要获取日志,可以运行对应的bat来收集即可。
02
—
认证过程
我们来看一下整体的认证过程,都会发生哪些事情。
当一个用户要进行认证时,Access会首先查看配置的条件访问策略。
如果策略里面有Kerberos认证方式,Access会访问对应的IDP
获取其中的hostname
用户会被重定向到IdP来完成认证。
认证成功后,客户会被重新导向回到Access,获得对Workspace ONE的访问。
如果有多台Connector,那么情况就会稍微复杂一些。
对应的Connector会返回自己真正的Hostname,将最终用户重定向到真正的Hostname。
03
—
网段定义
在配置网段的时候分两种,一种是Access本地部署,此时内外网对于Access来说非常清楚,直接配置内网网段(如:10.0.0.0)即可。
还有一种情况是使用了SaaS版的Access,此时注意要配置防火墙外发的IP作为内网地址,这样Access才能分清楚内外网的访问流量,能正确的将终端重定向。
04
—
小技巧
如果运行服务的用户没有足够的权限,会造成Kerberos 初始化失败,此时可使用安装目录下的setupkerberos.bat脚本,可以解决该问题。
获得无缝体验的小技巧,一般来说,打开Workspace ONE时,会提示选择登陆的目录,之后才能使用Kerberos认证进行登陆。
此时可以设定隐藏system目录,隐藏修改切换目录链接。
这样我们就可以获得完全无缝的体验,打开网址,自动登录,不需要用户点选任何选项或链接。
老规矩,放上原始视频供参考。