本篇是Connector认证服务的最后一个,Kerberos认证服务。

python kerberos认证代码_重定向

Kerberos认证可以给用户带来无缝的体验,由于Kerberos认证的原理,用户需要直接连接到Connector来完成认证,同时,这也是唯一一个服务需要加入域的。Kerberos认证使用WorkspaceIDP。

python kerberos认证代码_python kerberos认证代码_02

01

架构

大家可能对Kerberos认证相对比较陌生,所以我们先从简单的架构开始。

python kerberos认证代码_kerberos认证原理_03

  • 首先部署Kerberos认证服务,连接到AD。
  • 其次启用对应的企业认证方式。
  • 接着绑定到Workspace IDP,这样可以和用户目录连上。
  • 同时可以使用网段来限定可以使用的网络范围。
  • 这些都完成后可以在条件访问策略里面去调用它。
  • 最后,如果需要高可用,部署更多的Kerberos认证服务就好。

一般来说,我们还会部署外部负载均衡器供访问。

python kerberos认证代码_python kerberos认证代码_04

如果单独部署Kerberos 认证服务,所需要的硬件sizing如下:

python kerberos认证代码_Access_05

同样,我们建议增加Connector的方式,而不建议通过增加硬件来获取更高的负载。

如果需要和其他认证服务一起,那么可以参考下图:

python kerberos认证代码_kerberos认证_06

要获取日志,可以运行对应的bat来收集即可。

python kerberos认证代码_kerberos认证原理_07

02

认证过程

python kerberos认证代码_Access_08

我们来看一下整体的认证过程,都会发生哪些事情。

当一个用户要进行认证时,Access会首先查看配置的条件访问策略。

python kerberos认证代码_Access_09

如果策略里面有Kerberos认证方式,Access会访问对应的IDP

python kerberos认证代码_重定向_10

获取其中的hostname

python kerberos认证代码_python kerberos认证代码_11

用户会被重定向到IdP来完成认证。

python kerberos认证代码_Access_12

认证成功后,客户会被重新导向回到Access,获得对Workspace ONE的访问。

python kerberos认证代码_python kerberos认证代码_13

如果有多台Connector,那么情况就会稍微复杂一些。

python kerberos认证代码_python kerberos认证代码_14

对应的Connector会返回自己真正的Hostname,将最终用户重定向到真正的Hostname。

python kerberos认证代码_Access_15

03

网段定义

在配置网段的时候分两种,一种是Access本地部署,此时内外网对于Access来说非常清楚,直接配置内网网段(如:10.0.0.0)即可。

python kerberos认证代码_kerberos认证_16

python kerberos认证代码_kerberos认证_17

还有一种情况是使用了SaaS版的Access,此时注意要配置防火墙外发的IP作为内网地址,这样Access才能分清楚内外网的访问流量,能正确的将终端重定向。

python kerberos认证代码_Access_18

04

小技巧

如果运行服务的用户没有足够的权限,会造成Kerberos 初始化失败,此时可使用安装目录下的setupkerberos.bat脚本,可以解决该问题。

python kerberos认证代码_python kerberos认证代码_19

获得无缝体验的小技巧,一般来说,打开Workspace ONE时,会提示选择登陆的目录,之后才能使用Kerberos认证进行登陆。

python kerberos认证代码_python kerberos认证代码_20

此时可以设定隐藏system目录,隐藏修改切换目录链接。

python kerberos认证代码_Access_21

这样我们就可以获得完全无缝的体验,打开网址,自动登录,不需要用户点选任何选项或链接。

python kerberos认证代码_kerberos认证_22

老规矩,放上原始视频供参考。