由于 Kerberos认证 的原理,用户需要直接连接到 Connector 来完成认证。
同时,这也是唯一一个需要加入域的服务。
Kerberos认证 使用 Workspace IDP。
架构
![8a916ff0058b80658ad2e7af2819dcf1.png](https://i-blog.csdnimg.cn/blog_migrate/e7636663891e6c5ff776d2a6e7a46661.png)
认证过程
![8a916ff0058b80658ad2e7af2819dcf1.png](https://i-blog.csdnimg.cn/blog_migrate/e7636663891e6c5ff776d2a6e7a46661.png)
网段定义
01.
架构
大家可能对Kerberos认证相对比较陌生,所以我们先从简单的架构开始。
如下图所示,
首先部署Kerberos认证服务,连接到AD。
其次启用对应的企业认证方式。
接着绑定到Workspace IDP,这样可以和用户目录连上。
同时可以使用网段来限定可以使用的网络范围。
这些都完成后可以在条件访问策略里面去调用它。
最后,如果需要高可用,部署更多的Kerberos认证服务就好。
一般来说,我们还会部署外部负载均衡器供访问。
如果单独部署Kerberos 认证服务,所需要的硬件sizing如下:
同样,我们建议增加Connector的方式,而不建议通过增加硬件来获取更高的负载。
如果需要和其他认证服务一起,那么可以参考下图:
要获取日志,可以运行对应的bat来收集。
02.
认证过程
我们来看一下整体的认证过程,都会发生哪些事情。
当一个用户要进行认证时,Access会首先查看配置的条件访问策略。
如果策略里面有Kerberos认证方式,Access会访问对应的IDP
获取其中的hostname
用户会被重定向到IdP来完成认证。
认证成功后,客户会被重新导向回到Access,获得对Workspace ONE的访问。
如果有多台Connector,那么情况就会稍微复杂一些。
对应的Connector会返回自己真正的Hostname,将最终用户重定向到真正的Hostname。
03.
网段定义
在配置网段的时候分两种:
一种是Access本地部署,
此时内外网对于Access来说非常清楚,直接配置内网网段(如:10.0.0.0)即可。
还有一种情况是使用了SaaS版的Access,
此时注意要配置防火墙外发的IP作为内网地址,这样Access才能分清楚内外网的访问流量,能正确的将终端重定向。
// 小技巧
///
NOCITCE
1.
如果运行服务的用户没有足够的权限,
会造成Kerberos 初始化失败。
使用安装目录下的setupkerberos.bat脚本,
可以解决该问题。
2.
获得无缝体验的小技巧
一般来说,
打开Workspace ONE时,
会提示选择登陆的目录,
之后才能使用Kerberos认证进行登陆。
此时可以设定隐藏system目录,
隐藏修改切换目录链接。
这样我们就可以获得无缝体验,
打开网址,自动登录,
不需要用户点选任何选项或链接。
/End.