kerberos认证_Workspace ONE AccessConnector Kerberos 认证

最新推荐文章于 2023-11-23 16:00:09 发布
最新推荐文章于 2023-11-23 16:00:09 发布
阅读量195 收藏
点赞数
文章标签: kerberos认证 kerberos认证原理
嗨大家好, 还记得我们 Connector 认证服务 系列的前两篇文章吗? 今天,在本系列的最后一篇文章中,我们一起来学习一下Kerberos认证服务! Kerberos · 认证 Kerberos认证 可以给用户带来无缝的体验

由于 Kerberos认证 的原理,用户需要直接连接到 Connector 来完成认证。

同时,这也是唯一一个需要加入域的服务。

Kerberos认证 使用 Workspace IDP。

44e1f39a71431064aedfd02f216ceb7c.png

架构

8a916ff0058b80658ad2e7af2819dcf1.png

认证过程

8a916ff0058b80658ad2e7af2819dcf1.png

网段定义

01.

架构

大家可能对Kerberos认证相对比较陌生,所以我们先从简单的架构开始。

如下图所示,

  • 首先部署Kerberos认证服务,连接到AD。

  • 其次启用对应的企业认证方式。

  • 接着绑定到Workspace IDP,这样可以和用户目录连上。

  • 同时可以使用网段来限定可以使用的网络范围。

  • 这些都完成后可以在条件访问策略里面去调用它。

  • 最后,如果需要高可用,部署更多的Kerberos认证服务就好。

da4c5a8f6e30d6b8fd9522c8f96ce33c.png

一般来说,我们还会部署外部负载均衡器供访问。

83d4124176506f32d99c6207ef162a89.png

如果单独部署Kerberos 认证服务,所需要的硬件sizing如下:

55b0681b037fac83d085ea5abfcfea8a.png

同样,我们建议增加Connector的方式,而不建议通过增加硬件来获取更高的负载。

如果需要和其他认证服务一起,那么可以参考下图:

a49911b43d1f658603e034d33d8d3491.png

要获取日志,可以运行对应的bat来收集。

0d105ac91aa7331502f196fc2c51cbe8.png

02.

认证过程

我们来看一下整体的认证过程,都会发生哪些事情。

f333bc2e9168657fddef55fc61c3661e.png

当一个用户要进行认证时,Access会首先查看配置的条件访问策略。

ffde02eb889f4694c78a0432adb19ba0.png

如果策略里面有Kerberos认证方式,Access会访问对应的IDP

94790245a79590abd86ad2a53278a95d.png

获取其中的hostname

9fa46bdaabf67c2198435145ab02e360.png

用户会被重定向到IdP来完成认证。

be8c2b36d68a769d16f9b1609c183abc.png

认证成功后,客户会被重新导向回到Access,获得对Workspace ONE的访问。

5d3731f424e5a4a82ffaeb28942ef29b.png

如果有多台Connector,那么情况就会稍微复杂一些。

384e8a0d14e81a1cbe0b7cd8b17907ce.png

对应的Connector会返回自己真正的Hostname,将最终用户重定向到真正的Hostname。

0e0f46aa84fe3077726bd81eec0e78d5.png

03.

网段定义

在配置网段的时候分两种:

一种是Access本地部署,

此时内外网对于Access来说非常清楚,直接配置内网网段(如:10.0.0.0)即可。

eb08e58d5077264566530d94fb4d222e.png

a38114bf95c13523cc476daf2c2715ef.png

还有一种情况是使用了SaaS版的Access,

此时注意要配置防火墙外发的IP作为内网地址,这样Access才能分清楚内外网的访问流量,能正确的将终端重定向。

d2142ed12fdfd5076762551f7223f0ca.png

// 小技巧

/// 

NOCITCE

 1.

如果运行服务的用户没有足够的权限,

会造成Kerberos 初始化失败。

使用安装目录下的setupkerberos.bat脚本,

可以解决该问题。

7dc430508ad50ab6b24361e9aa0b4a2a.png

2.

获得无缝体验的小技巧

一般来说,

打开Workspace ONE时,

会提示选择登陆的目录,

之后才能使用Kerberos认证进行登陆。

aa22f95f86e003f578cd35c0970f1f81.png

此时可以设定隐藏system目录,

隐藏修改切换目录链接。

92cd0b5000c448cda645c5694efa8c3a.png

这样我们就可以获得无缝体验,

打开网址,自动登录,

不需要用户点选任何选项或链接。

ae3edcd92bb247e84ce9b7d364c731f5.png

/End.

e26ac7d0a7189ee4675553073f3c8202.png

weixin_39955732
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows环境 java jdbc 连接impala (kerberos认证)
空谷幽兰草堂
07-17 6778
在网上找了下使用kerberos认证来通过jdbc连接impala,发现基本都是报错了。我使用两种方法jdbc连接impala,分别是通过hive来连接,还有通过impala自身的jdbc驱动来连接。第一种:(使用impala自身的jdbc驱动来连接,本例子是在impala的demo中进行了修改,添加了kerberos认证)pom文件如下:<project xmlns="http://maven.
kerberos认证过程,AD域认证
06-12
### Kerberos认证过程详解 #### 一、基本原理与核心概念 Kerberos是一种广泛使用的安全协议,主要用于网络环境下的身份验证(Authentication)。身份验证的目的在于确认一个人或实体是否确实如其所声称的身份那样。...
CDH Kerberos 认证下Kafka 消费方式
jast
10-22 2829
集群Kerberos认证安装参考:https://datamining.blog.csdn.net/article/details/98480008 目录 环境: 配置 Java Producer 代码 文件内容: kafka_client_jaas.conf krb5.conf ( kerberos 配置文件复制过来即可) kafka.keytab Java Co...
SpringBoot整合Hive(开启Kerberos认证)作三方数据源
qq_35267557的博客
08-10 2285
JDBC连接Hive,HIve开启Kerberos认证,SpringBOot整合HIve作为三方数据源
Spark连接ES实现kerberos认证
dkjhl的博客
09-15 2432
Mechanism level: Server not found in Kerberos database (7) - LOOKING_UP_SERVER spark连接ES,kerberos认证 Missing required negotiation token Mechanism level: Request is a replay (34)
SpringBoot项目连接,有Kerberos认证的Kafka
weixin_50737119的博客
11-23 1234
本文章用于快速使用java程序,连接到有Kerberos认证的Kafka,并监听到消息
kafka启用Kerberos认证
lxyygiuh的博客
12-28 8538
kafka启用Kerberos认证 1.环境准备 1.1.建用户 创建用户组 ywjk groupadd ywjk 新增用户 useradd -g ywjk ywjk 设置密码 passwd ywjk 1.2.上传kafk压缩包 从官网下载kafka压缩包,这里用的是kafka_2.11-0.10.2.2.tgz 上传kafka压缩包,利用git客户端从windows客户端上传至每台linux主机,传至/home/ywjk目录下面 scp -r ./kafka_2.11-0.10.2.2.tgz
Java 板 flink插入带Kerberos认证的hbase
qq_34009542的博客
10-09 789
----------直接上代码----------------- package com.hx.test; import com.hx.conf.HBaseConfig; import com.hx.test.model.IdTimeTemperature; import com.hx.utils.HBaseUtil; import org.apache.flink.api.common.functions.RichMapFunction; import org.apache.flink.api.com
Kerberos java实现客户端jdbc连接hive Intelliji_win7
Axel_Fran的博客
04-15 552
我的环境是,公司同事给的AWS 的三台机器。每台机器有公司内网,和外网 代码正常,看后文 问题一:报错 Receive timed out, 或者 connect time out 原因: 其实就是没有连接上hiveserver. 同事没有打开UDP 端口。我的win7_hosts文件没有添加机器的外网ip 和别名。 解决:打开UDP 端口,配置hosts 文件。 问题二:Login failure for hive@DEV.COM from keytab src/main/resources/.
华为认证-- sun.security.krb5.KrbException: Server not found in Kerberos database (7)
热门推荐
我是传奇
09-26 1万+
一、问题描述 在用华为安全模式接入kafka时,一直提示错误: javax.security.sasl.SaslException: An error: (java.security.PrivilegedActionException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: N...
flink read 带Kerberos的hbase
qq_34009542的博客
10-09 549
package com.hx.test; import org.apache.flink.api.common.restartstrategy.RestartStrategies; import org.apache.flink.api.java.tuple.Tuple2; import org.apache.flink.configuration.Configuration; import org.apache.flink.streaming.api.datastream.DataStream; imp
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
conn = connect(host=ip, port=10000, auth_mechanism='GSSAPI', kerberos_service_name='hive') cursor = conn.cursor() cursor.execute('SELECT * FROM default.books') for row in cursor: print(row) ``` ...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
【中科院1区】Matlab实现天鹰优化算法AO-RF锂电池健康状态估计算法研究.rar
最新发布
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
汽车行业数字化转型报告顶层规划设计.docx
08-02
汽车行业数字化转型报告顶层规划设计.docx
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文
08-02
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文 自中国证券市场产生以来,投资者进行投资理财迫切需要有一个科学的理论依据,在众多投资理论体系中,确定企业的价值和股票的价值,是一个重要的流派。著名的投资专家巴非特就是通过分析企业的内在价值,寻找价值被低估的股票,等到市场认可了该企业的价值,再将股票抛出,从而获得了的投机收益,其管理的基金也一度成为世界上最成功的投资基金之一。从西方国家理论界对相关领域的研究结果来看,也取得了一些成果,包括:CAPM 模型、 ICAPM模型、APT模型等,也有人用市盈率方法对股票进行定价。国内在相关的领域也取得了一些研究成果。然而,尽管国内外理论界研究成果较多,但真正适应中国证券市场、适应中国广大投资者的切实有效的理论至今仍是一个空白。在中国这样一个特殊的背景下,股权结构的特殊性、证券市场初创时期的投资性等因素,使得一些模型受到挑战,而且这些模型的精确化程度也受到限制,有必要探求新的思路和方法,为广大的投资者提供切实可靠的操作依据。对股票的价值进行评估必须综合尽可能全面的因素才能使得这些评估更加科
【创新未发表】Matlab实现黑猩猩优化算法Chimp-RF实现风电预测算法研究.rar
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值