Руководство по установке и настройке VMware Enterprise Systems Connector МАЙ 2018 Г. VMware Identity Manager 3.2 VMware Identity Manager VMware AirWatch 9.3 Руководство по установке и настройке VMware Enterprise Systems Connector Самая последняя техническая документация доступна на веб-сайте VMware: https://docs.vmware.com/ru/ Все замечания по данной документации отправляйте по адресу: docfeedback@vmware.com VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com (c) VMware Inc., 2017, 2018 гг. Все права защищены. Информация об авторских правах и товарных знаках. VMware Inc. 2 Содержание Установка и настройка VMware Enterprise Systems Connector 5 1. Обзор VMware Enterprise Systems Connector 6 О компоненте VMware Enterprise Systems Connector 6 Системные требования для Enterprise Systems Connector 8 2. Обзор архитектуры Enterprise Systems Connector 19 Модель использования SaaS Enterprise Systems Connector 19 Модель локального развертывания Enterprise Systems Connector Рабочие потоки интеграции сертификатов компонентов ACC 20 22 3. Процесс установки Enterprise Systems Connector 23 Определение компонентов для настройки 24 (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM Установка связи с AWCM 25 25 Получение установщика VMware Enterprise Systems Connector Включение Enterprise Systems Connector с консоли AirWatch Запуск установщика Enterprise Systems Connector 29 Проверка установки Enterprise Systems Connector 35 26 27 4. Управление ACC 37 Обновления ACC 37 Выполнение обновления ACC вручную 39 Восстановление сертификатов 40 5. Настройка и управление Соединитель VMware Identity Manager 42 Настройка Соединитель VMware Identity Manager 42 Управление параметрами администрирования соединителя VMware Identity Manager Включение параметров прокси-сервера после установки 51 57 Настройка высокой доступности для Соединитель VMware Identity Manager 57 Добавление метода проверки подлинности Kerberos для развертывания Соединитель VMware Identity Manager 61 Удаление экземпляра Соединитель VMware Identity Manager Обновление VMware Identity Manager Connector 67 68 6. Миграция каталога из ACC в Соединитель VMware Identity Manager 71 Преобразование каталога типа «Другой» в Active Directory с протоколом LDAP либо Active Directory (встроенная проверка подлинности Windows) VMware Inc. 72 3 Руководство по установке и настройке VMware Enterprise Systems Connector Остановка синхронизации каталога с AirWatch в VMware Identity Manager 74 7. Устранение неполадок в Enterprise Systems Connector 76 Сброс пароля администратора для Соединитель VMware Identity Manager VMware Inc. 76 4 Установка и настройка VMware Enterprise Systems Connector В разделе VMware Enterprise Systems ConnectorУстановка и настройка представлены сведения по настройке компонента VMware Enterprise Systems Connector на основе Windows™, который ® предоставляет предприятию возможность выполнять интеграцию VMware AirWatch и VMware Identity Manager™ с системами предприятий. В данном документе предоставлена информация по установке обоих компонентов VMware Enterprise Systems Connector: AirWatch Cloud Connector и Соединитель VMware Identity Manager. Данная информация применима как к использованию в сценарии с SaaS, так и в сценарии локального развертывания. Примечания в тексте указаны для разных сред. Целевая аудитория Данная информация предназначена для опытных администраторов Windows. Она применима как для клиентов SaaS, так и на локальных пользователей. Глоссарий VMware Technical Publications VMware Technical Publications предоставляет глоссарий с терминами, которые могут быть незнакомы читателю. Определения терминов, используемых в технической документации VMware, можно найти на странице http://www.vmware.com/support/pubs. VMware Inc. 5 Обзор VMware Enterprise Systems Connector 1 Перед установкой VMware Enterprise Systems Connector просмотрите требования к системе, архитектуре и моделям развертывания. В эту главу входят следующие темы: n О компоненте VMware Enterprise Systems Connector n Системные требования для Enterprise Systems Connector О компоненте VMware Enterprise Systems Connector AirWatch Cloud Connector (ACC) включен в VMware AirWatch 9.1 и более поздних версий в качестве компонента нового установщика под названием VMware Enterprise Systems Connector. Этот установщик выполняет функцию унифицированного пакета соединителя для Workspace ONE, AirWatch и Identity. Он состоит из двух компонентов: ACC и Соединитель VMware Identity Manager. В процессе установки можно выбрать компоненты, которые нужно установить. Ознакомьтесь с разделом Определение компонентов для настройки, чтобы узнать, когда рекомендуется установка обоих компонентов. VMware Inc. 6 Руководство по установке и настройке VMware Enterprise Systems Connector Компонент AirWatch Cloud Connector AirWatch Cloud Connector (ACC) предоставляет организациям возможность интегрировать AirWatch с их корпоративными серверными системами. ACC работает во внутренней сети, выступая в качестве прокси-сервера, который безопасно передает запросы от AirWatch на важнейшие компоненты инфраструктуры предприятия. Это позволяет организациям использовать преимущества AirWatch Mobile Device Management (MDM) при работе в любой конфигурации вместе с функциями их существующего протокола LDAP, центра сертификации, электронной почты и других внутренних систем. См. также раздел Глава 2 Обзор архитектуры Enterprise Systems Connector. ACC интегрируется со следующими внутренними компонентами. n Узел электронной почты (SMTP) n Службы каталогов (LDAP/AD) n Управление электронной почтой Exchange 2010 (PowerShell) n BlackBerry Enterprise Server (BES) n Веб-служба Lotus Domino (HTTPS) n Syslog (данные журнала событий) Следующие компоненты доступны только в случае приобретения дополнительного модуля PKI Integration, который доступен отдельно. n Службы сертификации Microsoft (PKI) n Простой протокол регистрации сертификатов (SCEP PKI) n Сторонние службы сертификации компонентов (используемые только локально) Компонент Соединитель VMware Identity Manager Соединитель VMware Identity Manager обеспечивает интеграцию каталогов, проверку подлинности пользователей и интеграцию с такими ресурсами, как Horizon View. Использование компонента Соединитель VMware Identity Manager обеспечивает следующие дополнительные возможности развертывания. n Методы проверки подлинности на основе Соединитель VMware Identity Manager, такие как пароль, RSA Adaptive Authentication, RSA SecurID и Radius n Проверка подлинности Kerberos для внутренних пользователей n Интеграция со следующими ресурсами: n Пулы рабочих столов и приложений Horizon View n Опубликованные ресурсы Citrix. n VMware Horizon Cloud Service c удаленной и локальной инфраструктурой™ VMware Inc. ® 7 Руководство по установке и настройке VMware Enterprise Systems Connector Руководство по началу работы Примечание. В случае локального развертывания перед выполнением инструкций из этого руководства следует выполнить процедуры, описанные в руководстве AirWatch Cloud Messaging Service (AWCM). Локальные клиенты должны убедиться в том, что AWCM правильно установлен, а также работает и взаимодействует с AirWatch без ошибок. Системные требования для Enterprise Systems Connector Перед развертыванием Enterprise Systems Connector убедитесь, что система соответствует необходимым требованиям. Требования к оборудованию Используйте следующие требования как основу для создания сервера Enterprise Systems Connector. Если вы устанавливаете только компонент ACC, используйте следующие требования. Таблица 1‑1. Требования ACC Число пользователей До 10 000 10 000 до 50 000 50 000 до 100 000 Ядра ЦПУ 2 2 сервера со сбалансированной нагрузкой и 2 ядрами ЦПУ 3 сервера со сбалансированной нагрузкой и 2 ядрами ЦПУ RAM (ГБ) на сервер 4 4 каждый 8 каждый Емкость диска (ГБ) 50 50 каждый 50 каждый Для компонента Соединитель VMware Identity Manager необходимо соответствие следующим дополнительным требованиям. Если вы устанавливаете как компоненты ACC, так и компоненты Соединитель VMware Identity Manager, добавьте данные требования к требованиям ACC, VMware Inc. 8 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑2. Требования Соединитель VMware Identity Manager Число пользователей До 1000 1000 до 10 000 10 000 до 25 000 25 000 до 50 000 50 000 до 100 000 ЦП 2 2 сервера со сбалансированно й нагрузкой, каждый с 4 ЦПУ 2 сервера со сбалансированно й нагрузкой, каждый с 4 ЦПУ 2 сервера со сбалансированно й нагрузкой, каждый с 4 ЦПУ 2 сервера со сбалансированной нагрузкой, каждый с 4 ЦПУ RAM (ГБ) на сервер 6 6 каждый 8 каждый 16 каждый 16 каждый Емкость диска (ГБ) 50 50 каждый 50 каждый 50 каждый 50 каждый Примечание. n Для компонента ACC нагрузка трафика балансируется автоматически компонентом AWCM. Для этого нет необходимости в отдельном устройстве балансировки нагрузки. Все множественные экземпляры ACC в одной организационной группе, которые подключены к одному серверу AWCM для высокой доступности, могут ожидать получения трафика (конфигурация лайв-лайв). Как направляется трафик, определяется AWCM и зависит от поточной нагрузки. n Для компонента Соединитель VMware Identity Manager см. раздел Настройка высокой доступности для Соединитель VMware Identity Manager. n Ядра ЦПУ для каждого — на 2,0 ГГц и выше. Требуется процессор Intel. n Требования к свободному объему на диске: 1 ГБ для приложения Enterprise Systems Connector, Windows OS и среда выполнения .NET. Для входа в систему необходимо дополнительное свободное пространство на диске. Требования к программному обеспечению Убедитесь, что ваш сервер Enterprise Systems Connector отвечает следующим требованиям к программному обеспечению. VMware Inc. 9 Руководство по установке и настройке VMware Enterprise Systems Connector Проверка статуса Требования Примечания Windows Server 2008 R2 Необходим для обоих компонентов Windows Server 2012 Windows Server 2012 R2 или Windows Server 2016 Установить на сервер PowerShell Необходим для обоих компонентов Примечание. (Компонент AirWatch Cloud Connector) Необходима версия PowerShell 3.0+ при развертывании модели PowerShell MEM напрямую для электронной почты. Чтобы проверить свою версию, откройте PowerShell и запустите команду $PSVersionTable. Примечание. (Компонент Соединитель VMware Identity Manager) необходима версия PowerShell 4.0 для установки на Windows Server 2008 R2. Установлена среда NET Framework 4.6.2. Необходим для обоих компонентов Примечание. (Компонент AirWatch Cloud Connector) Характеристика автоматического обновления AirWatch Cloud Connector не будет функционировать надлежащим образом, пока вы не обновите свой сервер Enterprise Systems Connector до версии .NET Framework 4.6.2. Функция автоматического обновления не будет обновлять .NET Framework автоматически. Установить .NET Framework 4.6.2 вручную на сервер Enterprise Systems Connector до выполнения обновления. Общие требования Убедитесь, что ваш сервер Enterprise Systems Connector настроен в соответствии со следующими общими требованиями для того, чтобы обеспечить правильность установки. Проверка статуса Требования Примечания Убедитесь, что у вас есть удаленный доступ к серверам, на которых установлен AirWatch. VMware AirWatch рекомендует настроить диспетчер подключений к удаленному рабочему столу для управления несколькими серверами. Вы можете загрузить установщик с сайтаhttps://www.microsoft.com/en-us/download/details.aspx? id=44989. Как правило, установки выполняются удаленно через веб-конференцию или общий экран, который предоставляется консультантом AirWatch. Некоторые клиенты также предоставляют AirWatch учетные данные VPN для прямого доступа к среде. VMware Inc. Установка Notepad ++ (рекомендуется) VMware AirWatch рекомендует настроить Notepad ++. Учетные записи служб для проверки подлинности систем поддержки серверов Проверьте метод соединения AD с использованием инструмента LDP.exe (см. статьюhttp://www.computerperformance.co.uk/ScriptsGuy/ldp.zip) LDAP, BES, PowerShell, и т.д. 10 Руководство по установке и настройке VMware Enterprise Systems Connector Требования к сети Для выполнения настройки портов, перечисленных внизу, весь трафик должен быть однонаправленным (исходящим) от компонента-источника к компоненту-цели. Прокси для исходящего трафика либо иное программное либо аппаратное обеспечение управления соединением не должно останавливать либо отказывать в приеме исходящего соединения от Enterprise Systems Connector. Исходящее соединение, необходимое для использования Enterprise Systems Connector, должно оставаться открытым постоянно. Примечание. Любой ресурс, к которому нужно получить доступ с помощью ACC, например центр сертификации, должен находиться в одном и том же домене. Таблица 1‑3. Требования порта компонента AirWatch Cloud Connector (SaaS) Проверк а статуса Компонентисточник Компонент-цель Протокол Порт Проверка Сервер Enterprise Systems Connector AirWatch AWCM. Например: (https://awcm274.aw mdm. com) HTTPS 443 Проверьте, что нет ошибки доверия сертификата, введя https://awcmXXX.awmdm.com/awcm/stat us. Замените XXX той цифрой, которую вы использовали для URL-адреса среды, например,'100' для cn100. Сервер Enterprise Systems Connector Консоль AirWatch. Например: (https://cn274.awmdm .com) HTTP или HTTPS 80 или 443 Проверьте, что нет ошибки доверия сертификата, введя https://cnXXX.awmdm.com. Замените XXX той цифрой, которую вы использовали для URL-адреса среды, например,'100' для cn100. Если включена функция автоматического обновления, ACC должна запрашивать консоль AirWatch об обновлении с применением порта 443. Сервер Enterprise Systems Connector AirWatch API. Например: (https://as274.awmdm .com) HTTPS 443 Проверить, что будут запрашиваться учетные данные, введя https://asXXX.awmdm.com/api/help. Замените XXX той цифрой, которую вы использовали для URL-адреса среды, например,'100' для cn100. Для надлежащего функционирования сервиса диагностики AirWatch необходим доступ ACC к API. Сервер Enterprise Systems Connector CRL: http://csc3-2010crl.verisign.com/CSC3 -2010.crl HTTP 80 Чтобы разные службы функционировали надлежащим образом. Необязательные интеграции. VMware Inc. 11 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑3. Требования порта компонента AirWatch Cloud Connector (SaaS) (продолжение) Проверк а статуса VMware Inc. Компонентисточник Компонент-цель Протокол Порт Сервер Enterprise Systems Connector Внутренний SMTP SMTP 25 Сервер Enterprise Systems Connector Внутренний LDAP LDAP или LDAPS 389, 636, 3268 или 3269 Сервер Enterprise Systems Connector Внутренний SCEP HTTP или HTTPS 80 или 443 Сервер Enterprise Systems Connector Внутренний ADCS DCOM 135, 1025-500 0, 49152-65 535 Сервер Enterprise Systems Connector Внутренний BES HTTP или HTTPS 80 или 443 Сервер Enterprise Systems Connector Внутренний обмен Exchange 2010 либо выше HTTP или HTTPS 80 или 443 Проверка 12 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑4. Требования для порта компонента AirWatch Cloud Connector (на предприятии) Компонентисточник Сервер Enterprise Systems Connector Компонент-цель Протокол Порт Проверка AirWatch Cloud Messaging Server HTTPS 2001 Telnet от Enterprise Systems Connector к серверу AWCM на порт либо при установке. Проверьте, введя https://<AWCM URL>: 2001/awcm/status, и убедитесь в том, что нет ошибки доверия сертификата. Если включена функция автоматического обновления, ACC должна запрашивать консоль AirWatch об обновлении с применением порта 443. Если вы используете ACC с AWCM, у вас множественные серверы AWCM, и вы хотите сбалансировать их нагрузку, вам нужно настроить длительное хранение данных. Для получения более подробной информации по настройкам правил длительного хранения данных AWCM с применением F5, см. статью из базы знаний: https://support.airwatch.com/articles/115001666028. Сервер Enterprise Systems Connector Консоль AirWatch HTTP или HTTPS 80 или 443 Telnet от Enterprise Systems Connector к консоли на порту либо при установке. Проверьте, что нет ошибки доверия сертификата. введя https://<Console URL>. Если включена функция автоматического обновления, ACC должна запрашивать консоль AirWatch об обновлении с применением порта 443. Сервер Enterprise Systems Connector API сервер (если API установлен) Сервер Enterprise Systems Connector CRL: http://csc3-2010crl.verisign.com/CSC3 -2010.crl HTTPS 443 Проверить, перейдя на URL вашего API сервера. Для надлежащего функционирования сервиса диагностики AirWatch необходим доступ ACC к API. HTTP 80 Чтобы разные службы функционировали надлежащим образом. Необязательные интеграции. Сервер Enterprise Systems Connector VMware Inc. Внутренний SMTP SMTP 25 13 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑4. Требования для порта компонента AirWatch Cloud Connector (на предприятии) (продолжение) Компонентисточник Компонент-цель Протокол Порт Сервер Enterprise Systems Connector Внутренний LDAP LDAP или LDAPS 389, 636, 3268 или 3269 Сервер Enterprise Systems Connector Внутренний SCEP HTTP или HTTPS 80 или 443 Сервер Enterprise Systems Connector Внутренний ADCS DCOM 135, 1025-50 00, 49152-6 5535 Сервер Enterprise Systems Connector Внутренний BES HTTP или HTTPS 80 или 443 Сервер Enterprise Systems Connector Внутренний обмен Exchange 2010 либо выше HTTP или HTTPS 80 или 443 Проверка Таблица 1‑5. Требования к компоненту порта (SaaS или локально) Соединитель VMware Identity Manager Проверка статуса Компонентисточник Компонент-цель Порт Протокол Примечания Соединитель VMware Identity Ma nager Служба VMware Identity Manager 443 HTTPS Порт по умолчанию. Этот порт настраивается. Служебный узел VMware Identity Manager (локальные установки) Соединитель VMware Identity Ma nager Подсистема балансировки нагрузки службы VMware Identity Manager (локальные установки) 443 HTTPS Браузеры Соединитель VMware Identity Manag er 8443 HTTPS Порт администрировани я. Обязательный VMware Inc. 14 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑5. Требования к компоненту порта (SaaS или локально) Соединитель VMware Identity Manager (продолжение) Проверка статуса Компонентисточник Компонент-цель Порт Протокол Примечания Браузеры Соединитель VMware Identity Manag er 80 HTTP Обязательный Браузеры Соединитель VMware Identity Manag er 443 HTTPS Этот порт необходим только для соединителя, который используется в режиме поддержки входящих соединений. Данный порт требуется, если в соединителе настроена проверка подлинности Kerberos. VMware Inc. Соединитель VMware Identity Ma nager Active Directory 389, 636, 3268, 3269 Порт по умолчанию. Эти порты настраиваются. Соединитель VMware Identity Ma nager Сервер DNS 53 TCP/UDP Соединитель VMware Identity Ma nager Контроллер домена 88, 464, 135, 445 TCP/UDP Соединитель VMware Identity Ma nager Система RSA SecurID 5500 Порт по умолчанию. Этот порт настраивается Соединитель VMware Identity Ma nager Сервер подключений View 389, 443 Доступ к экземплярам View Connection Server для интеграции c Horizon View Для каждого экземпляра должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSHтрафик через порт 22 15 Руководство по установке и настройке VMware Enterprise Systems Connector Таблица 1‑5. Требования к компоненту порта (SaaS или локально) Соединитель VMware Identity Manager (продолжение) Проверка статуса Компонентисточник Соединитель VMware Identity Ma nager Компонент-цель Порт Integration Broker 80, 443 Протокол Примечания Доступ к Integration Broker для интеграции с ресурсами, опубликованными корпорацией Citrix. Важно. Если вы устанавливаете Integration Broker на том же сервере Windows, что и Enterprise Systems Connector, необходимо убедиться, что привязки сайтов веб-сайта севера IIS, привязки HTTP и HTTPS не конфликтуют с портами, используемыми компонентом Соединитель VMware Identity Ma nager. Соединитель VMware Identity Ma nager всегда использует порт 80. Помимо этого, используется порт 443, если другой порт не настроен во время установки. Соединитель VMware Identity Ma nager сервер syslog 514 UDP Для внешнего сервера syslog, если настроено Компонент Соединитель VMware Identity Manager : IP-адрес размещенной в облаке службы VMware Identity Manager Пользователи SaaS: список IP-адресов службы VMware Identity Manager, к которым служба Соединитель VMware Identity Manager должна иметь доступ, см. в статье базы знаний 2149884. VMware Inc. 16 Руководство по установке и настройке VMware Enterprise Systems Connector Компонент Соединитель VMware Identity Manager : требования к DNSзаписям и IP-адресам Для соединителя должна быть доступна DNS-запись и статический IP-адрес. Перед началом установки запросите DNS-запись и IP-адреса и настройте сетевые параметры сервера Windows. Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимо определить на сервере DNS запись PTR. Это позволит соединителю использовать правильные настройки сети. Вы можете использовать следующий образец списка DNS-записей. Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес для перенаправления. Таблица 1‑6. Пример DNS-записи и IP-адреса для перенаправления Доменное имя Тип ресурса IP-адрес myidentitymanager.company.com A 10.28.128.3 В этом примере показана DNS-запись и IP-адрес для обратного перенаправления. Таблица 1‑7. Пример DNS-записи и IP-адреса для обратного перенаправления IP-адрес Тип ресурса Имя узла 10.28.128.3 PTR myidentitymanager.company.com После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, с помощью команды виртуального устройства host IPaddress можно выполнить поиск имени в системе DNS. Примечание. При наличии подсистемы балансировки нагрузки с виртуальным IP-адресом (VIP) перед DNS-серверами следует учитывать, что VMware Identity Manager не поддерживает использование VIP. При необходимости можно указать несколько DNS-серверов через запятую. Примечание. Если используется сервер DNS на базе ОС Linux или Unix и планируется подключение соединителя к домену Active Directory, для каждого контроллера домена Active Directory необходимо создать соответствующие записи расположения службы (SRV). Компонент Соединитель VMware Identity Manager : поддерживаемые версии Active Directory Поддерживается среда Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory. VMware Inc. 17 Руководство по установке и настройке VMware Enterprise Systems Connector VMware Identity Manager поддерживает Active Directory на сервере Windows Server 2008, 2008 R2, 2012 и 2012 R2. На функциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этой ОС. Примечание. Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии. VMware Inc. 18 Обзор архитектуры Enterprise Systems Connector 2 В соединителе Enterprise Systems Connector находятся две службы Windows, которые можно установить на физический или виртуальный сервер под управлением Windows 2008 R2, 2012, 2012 R2 или 2016. Этот компонент работает во внутренней сети и может быть настроен за любыми существующими брандмауэрами веб-приложений или подсистемами балансировки нагрузки. При инициализации безопасного подключения HTTPS от Enterprise Systems Connector к службам обмена сообщениями, встроенным в AirWatch, и VMware Identity Manager, Enterprise Systems Connector может периодически передавать информацию из внутренних ресурсов, таких как AD, LDAP и т. д., на продукт без изменения параметров брандмауэра. Если планируется передавать трафик через исходящий прокси-сервер, можно использовать настройки на соединителе, которые разрешают использование прокси-сервера. Поддерживаемые настройки Используйте Enterprise Systems Connector при следующих настройках. n Использование транспорта HTTPS n Поддержка трафика HTTP на исходящем прокси-сервере. В эту главу входят следующие темы: n Модель использования SaaS Enterprise Systems Connector n Модель локального развертывания Enterprise Systems Connector n Рабочие потоки интеграции сертификатов компонентов ACC Модель использования SaaS Enterprise Systems Connector В модели использования SaaS компонент Enterprise Systems Connector расположен в вашей внутренней сети и интегрирован с внутренними системами, что позволяет AirWatch и VMware Identity Manager использовать их для различных функций, таких как службы сертификатов и каталогов. На следующей диаграмме показано полное использование Enterprise Systems Connector, с обоими компонентами ACC и Соединитель VMware Identity Manager. VMware Inc. 19 Руководство по установке и настройке VMware Enterprise Systems Connector Рисунок 2‑1. Использование SaaS Enterprise Systems Connector Интернет ДМЗ VMware Enterprise Systems Connector(s) ACC AirWatch Каталог Соединитель VMware Identity Manager VMware Identity Manager На данной диаграмме показано развертывание только компонента ACC. Рисунок 2‑2. Enterprise Systems Connector Развертывание SaaS (только ACC) Интернет ДМЗ VMware Enterprise Systems Connector(s) AirWatch ACC Каталог VMware Identity Manager Модель локального развертывания Enterprise Systems Connector В локального развертывания компонент Enterprise Systems Connector установлен в вашей внутренней сети и обменивается данными с AWCM и службой VMware Identity Manager. AWCM как правило установлен на сервере со службами устройства AirWatch. На следующей диаграмме показан пример использования компонента ACC в типичной локальной схеме AirWatch. VMware Inc. 20 Руководство по установке и настройке VMware Enterprise Systems Connector Рисунок 2‑3. Локальное развертывание Enterprise Systems Connector (только ACC) Кластер SQL Server Интернет AirWatch DB ДМЗ БД VMware Identity Manager Кластер VMware Enterprise Systems Connector(s) Каталог AirWatch DS ACC 443 AirWatch DS СБН Кластер VMware Identity Manager Устройство 443 VMware Identity Manager VMware Identity Manager Ниже представлен пример использования компонентов ACC и Соединитель VMware Identity Manager в типичной локальной схеме AirWatch. Рисунок 2‑4. Локальное развертывание Enterprise Systems Connector (ACC и Соединитель VMware Identity Manager ) Кластер SQL Server ДМЗ Интернет AirWatch DB БД VMware Identity Manager Кластер 443 AirWatch DS AirWatch DS VMware Enterprise Systems Connector(s) ACC СБН Кластер Устройство 443 VMware Identity Manager Каталог Соединитель VMware Identity Manager VMware Identity Manager VMware Identity Manager VMware Inc. 21 Руководство по установке и настройке VMware Enterprise Systems Connector Рабочие потоки интеграции сертификатов компонентов ACC Сертификаты используются для проверки подлинности передачи данных между консолью AirWatch и AirWatch Cloud Connector (ACC). Создание сертификатов n n Включите ACC и затем создайте сертификат для AirWatch и ACC. n Оба сертификата уникальны для определенной группы, выбранной на консоли AirWatch, и размещены на сервере AirWatch. n Оба сертификата созданы с доверенного корня AirWatch. Установите ACC. Сертификат ACC, который создается AirWatch, автоматически подключается и устанавливается с ACC. Как данные маршрутизируются в локальных средах. n AirWatch отправляет запрос на AWCM. Запросы зашифрованы SSL с использованием HTTPS. n ACC отправляет поисковый запрос на AWCM для запроса AirWatch. Запросы зашифрованы SSL с использованием HTTPS. n Все данные отправляются через AWCM. Конфигурация ACC доверяет только сообщениям, подписанным средой AirWatch. Доверие уникально для каждой группы. Любые дополнительные сервера ACC, настроенные в той же группе AirWatch как часть высокодоступной (HA) конфигурации, получают такие же уникальные сертификаты ACC. Для получения более подробной информации по высокой доступности смотрите руководство по рекомендованной архитектуре VMware AirWatch, которое вы можете найти в разделе AirWatch Resources. Каким образом защищены данные в среде предприятия Сервер AirWatch отправляет каждый запрос в виде зашифрованного и подписанного сообщения на AWCM. n Запросы зашифрованы с использованием уникального общедоступного ключа экземпляра ACC. Запросы могут шифроваться только ACC, n Запросы подписываются с использованием закрытого ключа экземпляра сервера AirWatch, который является уникальным для каждой группы. Таким образом, ACC доверяет запросам только с настроенного сервера AirWatch. n Ответы с ACC на сервер AirWatch отправляются в зашифрованном виде, шифровка выполняется с помощью того же ключа, что и запрос, и подписывается закрытым ключом ACC. VMware Inc. 22 Процесс установки Enterprise Systems Connector 3 Требуется выполнить некоторые задачи, чтобы настроить и установить Enterprise Systems Connector в вашу внутреннюю сеть. Процедура 1. Определение компонентов для настройки- Определите, следует ли устанавливать только компонент ACC или оба ACC и Соединитель VMware Identity Manager. 2. (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM- Для локальных клиентов необходимо установить сертификат безопасного канала для обеспечения безопасности между AWCM и следующими компонентами: консоли AirWatch, службами устройств, API и портал самообслуживания. 3. Установка связи с AWCM - SaaS и локальные клиенты должны установить связь с AWCM. Выполнение этой операции позволит настроить образец AirWatch для использования определенного сервера AWCM. 4. Получение установщика VMware Enterprise Systems Connector- Загрузить установщик Enterprise Systems Connector можно со страницы Cloud Connector на консоли AirWatch, как описано в разделе Включение Enterprise Systems Connector с консоли AirWatch. Установщик также доступен в составе мастера начальной настройки Workspace ONE. 5. Включение Enterprise Systems Connector с консоли AirWatch- Перед установкой компонента Enterprise Systems Connector необходимо сначала включить его, создать сертификаты, а затем выбрать интегрированные службы и службы AirWatch. После завершения этого действия можно установить Enterprise Systems Connector. 6. Запуск установщика Enterprise Systems Connector- Запустите установщик Enterprise Systems Connector на своем настроенном сервере, который отвечает всем необходимым предварительным требованиям. 7. Проверка установки Enterprise Systems Connector- После установки Enterprise Systems Connector с помощью консоли AirWatch можно проверить, успешно ли выполнена эта установка. В эту главу входят следующие темы: n Определение компонентов для настройки n (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM VMware Inc. 23 Руководство по установке и настройке VMware Enterprise Systems Connector n Установка связи с AWCM n Получение установщика VMware Enterprise Systems Connector n Включение Enterprise Systems Connector с консоли AirWatch n Запуск установщика Enterprise Systems Connector n Проверка установки Enterprise Systems Connector Определение компонентов для настройки Перед началом процесса установки решите, будет ли устанавливаться только компонент ACC, только компонент Соединитель VMware Identity Manager или компоненты ACC и Соединитель VMware Identity Manager вместе, в соответствии с потребностями вашего бизнеса. Для большинства клиентов Workspace ONE рекомендуется установка обоих компонентов Enterprise Systems Connector. В добавок к характеристикам ACC, при полной установке будет полная поддержка следующих характеристик. n Виртуальные приложения и рабочие столы в Workspace ONE. n Безопасная проверка подлинности сертификатов RSA n Встроенная проверка подлинности Windows n Множественный надежный либо ненадежный каталог Active Directory с VMware Identity Manager n VMware Identity Manager с множественными настройками группы организации каталога в AirWatch n Платформа для идентификационно-центричных интеграционных характеристик. Если вы уже использовали Workspace ONE только с ACC, эта модель и будет поддерживаться далее, но если вы планируете пользоваться одной изданных опций, рекомендуется установить полную версию Enterprise Systems Connector. Миграция только с ACC на Соединитель VMware Identity Manager доступна только в том случае, если поддерживается Enterprise Systems Connector. См. раздел Глава 6 Миграция каталога из ACC в Соединитель VMware Identity Manager. VMware Inc. 24 Руководство по установке и настройке VMware Enterprise Systems Connector (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM Локальным клиентам необходимо установить сертификат безопасного канала, чтобы обеспечить безопасность между AWCM и следующими компонентами: консолью AirWatch, службой устройств, API и портал самообслуживания. Важно. Выполните следующие действия на сервере, на котором запущен AWCM. Не загружайте программу установки на другой компьютер, а скопируйте ее на сервер AWCM. Если загрузка не удалась на сервере, на котором запущен AWCM, обратитесь в службу поддержки AirWatch за возможными решениями. Примечание. Если внесены какие-либо изменения в сертификат безопасного канала в хранилище ключей AWCM после загрузки и установки AirWatch Tunnel или Enterprise Systems Connector, вам необходимо удалить этот сертификат, потом удалить все папки, повторно загрузить и переустановить сертификат. Процедура 1. Перейдите в меню Группы и настройки> Все настройки> Система> Дополнительно> Сертификат безопасного канала. 2. Выберите Загрузить установщик AWCM Secure Channe в разделе «Облачные сообщения AirWatch», чтобы начать сценарий установки сертификата безопасного канала. Установщик безопасного канала для Linux используется только для облачной службы уведомлений. AWCM поддерживается только на серверах Windows. 3. Скопируйте сценарий установки сертификата безопасного канала на локальный сервер AWCM и щелкните правой кнопкой мыши, чтобы запустить его от имени администратора для выполнения и установки. 4. Введите или нажмите Обзор, чтобы найти путь Truststore, и выберите OK. 5. Нажмите OK, когда появится диалоговое окно «Сообщение», информирующее о том, что сертификат был добавлен в хранилище ключей. 6. Выполните действия для установки связи с AWCM. 7. Выполните действия для установки Enterprise Systems Connector Установка связи с AWCM SaaS и локальные клиенты должны установить связь с AWCM. Выполнение этой операции позволит настроить образец AirWatch для использования определенного сервера AWCM. VMware Inc. 25 Руководство по установке и настройке VMware Enterprise Systems Connector Процедура 1. Перейдите на «Группы и настройки» > «Все настройки» > «Система» > «Дополнительно» > «URL-адреса сайтов» для того, чтобы просмотреть раздел сообщений AirWatch. Примечание. Если вы являетесь заказчиком SaaS и не видите данной страницы в настройках системы, то настройки уже были выполнены. 2. Выполните следующие настройки. Параметр Описание Включить сервер AirWatch Установите этот флажок, чтобы разрешить соединение между консолью AirWatch и сервером AWCM. Внешний URL-адрес сервера AirWatch Это поле позволяет ввести имя сервера, используемое внешними компонентами и устройствами (например, ACC), чтобы безопасно (используя HTTPS) устанавливать связь с AWCM. Пример URL-адреса ACC: Acme.com. Не добавляйте https://, поскольку это предполагается приложением и добавляется автоматически. Внешний порт AirWatch Внутренний URLадрес сервера AWCM Это порт, который используется сервером, указанным выше, для связи с AWCM. Для безопасной внешней связи используйте порт 443. Если вы используете обход разгрузки SSL, тогда вам нужно использовать внутренний незащищенный порт связи, который по умолчанию прописан как 2001, но может быть изменен на другие номера портов. Этот URL-адрес позволяет вам достичь AWCM, используя внутренние компоненты и устройства (например, консоль администрирования, службы устройств и т. д.). Примеры URL-адресов AirWatch: https://Acme.com:2001/awcm или http://AcmeInternal.Local/awcm. Если ваш сервер AWCM и AirWatch Console являются внутренними (находятся в пределах одной сети), и требуется обойти разгруженный протокол SSL, то безопасное соединение не требуется и вы можете использовать http вместо https. Например, http://AcmeInternal.Local: 2001/awcm. На этом примере показано, что сервер находится во внутренней сети и взаимодействует с портом 2001. Получение установщика VMware Enterprise Systems Connector Получить установщик VMware Enterprise Systems Connector можно во многих местах. n На странице «Группы и настройки» > «Все настройки» > «Система» > «Интеграция предприятий» > «Соединитель для корпоративной системы VMware» в консоли AirWatch, как описано в разделеВключение Enterprise Systems Connector с консоли AirWatch n В рамках мастера по начальной настройке Workspace ONE в консоли AirWatch. Для получения информации по использованию мастера начальной настройки Workspace ONE см. в руководстве по быстрой настройке VMware Workspace ONE. n Компонент VMware Identity Manager также доступен на странице загрузки продукта VMware Identity Manager на портале My VMware. VMware Inc. 26 Руководство по установке и настройке VMware Enterprise Systems Connector Включение Enterprise Systems Connector с консоли AirWatch Перед установкой компонента Enterprise Systems Connector сначала его необходимо включить, создать сертификаты, выбрать корпоративные службы и службы AirWatch, которые необходимо интегрировать. После завершения этого действия можно установить Enterprise Systems Connector. Примечание. На сервере, на котором будет запущен Enterprise Systems Connector, выполните следующие шаги. Не загружайте установщик на другой компьютер и не копируйте его на серверEnterprise Systems Connector. Процедура 1. Последовательно щелкните «Группы и параметры» > «Все настройки» > «Система» > «Интеграция предприятия» > VMware Enterprise Systems Connector. 2. Выполните конфигурацию следующих параметров на вкладке Общие. Параметр Описание Включить VMware Enterprise Systems Connector Установите флажок, чтобы включить Enterprise Systems Connector и отобразить вкладку «Общие». Включить автоматическое обновление Выберите включить автоматическое обновление Enterprise Systems Connector при наличии более новой версии. Для получения более подробной информации по автоматическому обновлению см. в разделе Параметр автоматического обновления VMware Enterprise Systems Connector . 3. Настройте следующие параметры на вкладке Дополнительно. Параметр Описание Создайте сертификаты Нажмите эту кнопку, чтобы создать сертификат для Enterprise Systems Connector и сервера AirWatch. Сертификаты создаются для обоих вариантов и отображаются как сертификаты VMware Enterprise Systems Connector и сертификаты AirWatch. Как только сертификаты созданы, кнопка сменится на Восстановить. Дополнительные сведения о восстановлении сертификатов см. в разделе Восстановление сертификатов. Обмен данными с AWCM VMware Inc. Выберите, каким образом будут передаваться данные между Enterprise Systems Connector и AWCM в рамках передачи данных на AWCM. n Использовать внешний URL-адрес AWCM . Это параметр по умолчанию, который будет применяться к большинству развертываний. n Использовать внутренний URL-адрес AWCM . Используйте этот параметр, если ваши настройки безопасности ограничивают ваш сервер Enterprise Systems Connector в переходе на внешний URL-адрес AWCM. Например, если Enterprise Systems Connector находится на внутренней сети, а ваш сервер расположен AWCM в DMZ. 27 Руководство по установке и настройке VMware Enterprise Systems Connector Параметр Описание Корпоративные службы Выберите Включено или Выключено для того, чтобы включить либо выключить корпоративные службы. Выбранные (включенные) службы будут интегрированы с Enterprise Systems Connector. n BES (синхронизированные пользователь BlackBerry и данные о мобильного устройства) n Службы каталогов (LDAP/AD) n Обмен PowerShell (для определенных безопасных шлюзов для обмена электронными сообщениями) n SMTP (передача электронных сообщений) AirWatch SaaS предлагает передачу электронных сообщения по собственному протоколу SMTP, но вы также можете включить для использования другой Enterprise Systems Connector SMTP сервер. Укажите настройки сервера SMTP для электронной почты в меню Группы и настройки > Все настройки > Система > Интеграция предприятия > Электронная почта (SMTP). n Syslog (Протокол клиент/сервер, используется для интеграции данных регистрации события AirWatch) Следующие компоненты доступны только в том случае, если вы приобрели дополнительный модуль PKI Integration, который доступен отдельно. n Службы сертификации Microsoft(PKI) n Протокол простой регистрации сертификатов (SCEP PKI) n OpenTrust CMS Mobile (сторонние службы сертификатов) n Entrust PKI (сторонние службы сертификатов) n Symantec MPKI (сторонние службы сертификатов) Поскольку нет необходимости в прохождении через Enterprise Systems Connector для облачных служб сертификации, если вы хотите выполнить интеграцию со службами сертификата (как Symantec MPKI), выберите одну из опций на экране внизу, служба которую вы выбираете, должна быть на предприятии, а не в облаке (SaaS). Службы AirWatch Выберите Включено или Выключено для того, чтобы включить либо выключить службы AirWatch. Компоненты AirWatch, которые вы выбрали (отключили), будут интегрированы с Enterprise Systems Connector. AirWatch рекомендует оставить все службы включенными. n Службы устройства (Консоль администратора и все службы, необходимые для его работы, включая связанные службы Windows) n Управление устройством (регистрация, каталог приложений, связанные службы Windows) n Портал самообслуживания (включая связанные службы Windows) n Все другие компоненты (включая связанные службы Windows) Примечание. (Локальные клиенты) Если вы еще не выполнили Включение AWCM для передачи данных на VMware Enterprise Systems Connector, вы можете выбрать Загрузить установщик AWCM Secure Channel для перехода на страницу загрузки. Примечание. (Клиенты SaaS) Вам не нужно загружать установщик сертификата безопасности канала. 4. Выберите Сохранить для того, чтобы сохранить все настройки. VMware Inc. 28 Руководство по установке и настройке VMware Enterprise Systems Connector 5. Вернитесь на вкладку «Общие» и выберите параметр Загрузить установщик VMware Enterprise Systems Connector. Будет отображена страница загрузки программы установки Cloud Connector. 6. В полях введите пароль для сертификата Enterprise Systems Connector. Данный пароль пригодится позже, когда вы запустите Enterprise Systems Connector установщик и введете пароль для сертификата. 7. Выберите Загрузить и сохраните файл с расширением .exe на сервере Enterprise Systems Connector для дальнейшего его использования. Запуск установщика Enterprise Systems Connector Запустите установщик Enterprise Systems Connector на сервере Windows, который отвечает всем требованиям. В установщик входят AirWatch Cloud Connector и компоненты Соединитель VMware Identity Manager. Вы можете установить один либо оба компонента. После первичной установки вы сможете снова запустить установщик, чтобы изменить любые характеристики либо обновить установку. Необходимые условия Для установки компонента AirWatch Cloud Connector (ACC) необходимо соответствие следующим предварительным условиям. n Перед тем как начать процесс, локальный клиент должен убедиться в том, что сервер, на котором будет выполняться установкаEnterprise Systems Connector, может достичь AWCM. Для этого в браузере перейдите по адресу https://{url}:порт/awcm/status, где {url} — это URLадрес среды AirWatch, а порт — это внешний порт, который вы настроили для коммуникации AWCM. Состояние AWCM должно отображаться без ошибок SSL. Если есть ошибки, устраните их перед тем, как продолжить, иначе ACC не будет функционировать надлежащим образом. n Клиенты SaaS должны убедиться в том, что сервер, на котором выполняется установка Enterprise Systems Connector, может достичь AWCM. Для этого в браузере перейдите по адресу https://awcmXXX.awmdm.com/awcm/status. Замените XXX числом, которое используется в URLадресе среды, например '100' для cn100. Состояние AWCM должно отображаться без ошибок SSL. Если ошибки есть, перед тем, как продолжить, необходимо их устранить, иначе ACC не будет функционировать надлежащим образом. Для компонента Соединитель VMware Identity Manager должны выполняться следующие предварительные условия. n Порты 80 и 8443 должны быть доступны на сервере Windows. Если данные порты используются другими службами, вы не сможете установить компонент Соединитель VMware Identity Manager. VMware Inc. 29 Руководство по установке и настройке VMware Enterprise Systems Connector n В указанных ниже случаях Windows Server должен быть присоединен к домену и компонент Соединитель VMware Identity Manager должен устанавливаться от имени пользователя домена, который входит в группу администраторов Windows Server. n Если планируется подключение к Active Directory (встроенная проверка подлинности Windows) n Если вы планируете использовать проверку подлинности Kerberos n Если планируется интеграция Horizon View с VMware Identity Manager и требуется воспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройка сервера подключений 5.x» В таких случаях пользователю домена во время установки необходимо запустить службу IDM Connector. n n Для того, чтобы установщик мог искать и проверять домены и пользователей во время процесса установки, должны соблюдаться следующие условия. n Целевая система должна быть соединена с доменом. n Служба браузера компьютеров должна быть включена и запущена. n Брандмауэр должен быть настроен с исключением для службы браузера компьютеров. n На целевой системе должен быть включен NetBIOS по TCP/IP. n В сети должна быть настроена система главного браузера. n В сети должен быть включен параметр широковещательного трафика. В пути к каталогу, в котором устанавливается VMware Identity Manager Connector, не должно быть пробелов, или установка завершится ошибкой. Например, при установке в каталог C:\Program Files происходит сбой, а при установке в каталог C:\VMware — нет. Процедура 1. Щелкните установщик дважды. 2. На экране приветствия нажмите кнопку Продолжить. Установщик проверит наличие предварительных условий на сервере. Если не установлена платформа .NET Framework, появится запрос о ее установке и перезапуске сервера. После перезапуска снова запустите установщик Enterprise Systems Connector для того, чтобы возобновить процесс установки. Если установлена предыдущая версия, установщик определит это автоматически и предложит обновить ее до последней версии. Для получения более подробной информации об обновлении ACC см. раздел Обновления ACC. Дополнительные сведения об обновлении соединителя VMware Identity Manager см. в разделе Обновление VMware Identity Manager Connector. 3. Примите условия лицензионного соглашения, затем нажмите кнопку Далее. VMware Inc. 30 Руководство по установке и настройке VMware Enterprise Systems Connector 4. На странице «Индивидуальные настройки» выберите компоненты для установки. По умолчанию выбраны как AirWatch Cloud Connector, так и Соединитель VMware Identity Manager. Чтобы отменить выбор компонента, нажмите стрелку расширения и выберите параметр Данная характеристика будет недоступна. Для получения более подробной информации о компонентах см. раздел Определение компонентов для настройки. 5. Выберите Изменить... для изменения каталога установки, если это необходимо, затем нажмите кнопку Продолжить. Примечание. В пути к каталогу установки не должно быть пробелов, иначе установка завершится ошибкой. Например, при установке в каталог C:\Program Files происходит сбой, а при установке в каталог C:\VMware — нет. Для Соединитель VMware Identity Manager компонента требуется среда выполнения Java (JRE™). Если в Windows Server не установлена среда JRE, либо установлена версия, которая старше той, которая предусмотрена установщиком, то вам будет предложено выполнить ее установку. Обратите внимание, что все существующие версии JRE при установке необходимой версии не удаляются. 6. Проверьте целевую папку, затем нажмите Продолжить. 7. Введите пароль сертификата ACC, который вы задали на странице «Настройки системы» в AirWatch, затем нажмите Продолжить. VMware Inc. 31 Руководство по установке и настройке VMware Enterprise Systems Connector 8. Если вы планируете направить трафик ACC через исходящий прокси-сервер, установите флажок и введите информацию о прокси-сервере. При необходимости введите имя пользователя и пароль. Примечание. Настройки на данной странице действительны только для ACC. Информация о прокси-сервере для Соединитель VMware Identity Manager вводится отдельно позже. 9. Нажмите кнопку Далее. VMware Inc. 32 Руководство по установке и настройке VMware Enterprise Systems Connector 10. (Только для Соединитель VMware Identity Manager) На странице конфигураций IDM Connector введите следующую информацию, затем нажмите кнопку Продолжить. Параметр Описание Порт для IDM Connector Введите номер порта, если вы хотите запустить Соединитель VMware Identity Manager на порту, отличном от 443. Хотите ли вы воспользоваться собственным сертификатом SSL? По умолчанию самозаверяющий сертификат создается для Соединитель VMware Identity Manager во время процесса установки. Самозаверяющий сертификат можно установить позже. Для этого нужно войти в систему администрирования соединителя по адресу https://vidmConnectorHostname: 8443/cfg/login и перейти на страницу «Установить сертификат». Если у вас уже есть сертификат и вы хотите его установить, поставьте флажок, затем выберите сертификат и введите пароль для сертификата. У файлов сертификатов должен быть формат PFX. Вы используете прокси-сервер HTTPS? При необходимости выберите конфигурацию прокси-сервера HTTPS для исходящего трафика. Прокси-сервер HTTPS : URL-адрес прокси-сервера. Порт прокси-сервера: порт прокси-сервера HTTPS. Узлы без прокси: узлы, к которым Соединитель VMware Identity Manager может получать доступ без прохождения через прокси-сервер. Например, локальный узел или узлы на одной подсети. VMware Inc. 33 Руководство по установке и настройке VMware Enterprise Systems Connector 11. (Только для Соединитель VMware Identity Manager) На странице VMware IDM Connector Activation выберите, требуется ли активировать соединитель сейчас. Параметр Описание Код активации Если служба VMware Identity Manager настроена в организационной группе AirWatch, с которой загружен установщик, то поле с кодом активации будет заполняться автоматически. Если данное поле не заполняется автоматически, сгенерируйте код активации в консоли управления VMware Identity Manager, затем скопируйте и вставьте его в указанное поле. Дополнительные сведения см. в разделе Создание кода активации для Соединитель VMware Identity Manager. Пароль администратора Создайте пароль для страниц администратора соединителя. На этих страницах можно собирать пакеты файлов журналов и выгружать сертификаты. Подтвердите пароль Введите пароль повторно. Если вы не выполните активацию Соединитель VMware Identity Manager сейчас, вы можете выполнить активацию позже по ссылке https://vidmConnectorHostname:8443. Например, https://myconnector.example.com:8443. 12. Нажмите кнопку Далее. 13. (Только для Соединитель VMware Identity Manager) Установите флажок на странице учетной записи службы IDM Connector, если требуется запусткать службу IDM Connector от имени пользователя домена Windows. Вы должны запустить устройство в качестве пользователя домена только в следующих случаях: n Если вы планируете подключиться к Active Directory (встроенная проверка подлинности Windows) n Если вы планируете использовать проверку подлинности Kerberos VMware Inc. 34 Руководство по установке и настройке VMware Enterprise Systems Connector n Если вы планируете интеграцию Horizon View с VMware Identity Manager и хотите воспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройка сервера подключений 5.x» Примечание. Чтобы выбрать параметры на данной странице, требуется запустить установщик от имени пользователя домена, входящего в состав группы администраторов Windows Server. Примечание. Если после нажатия кнопки Обзор невозможно найти домены или пользователей, проверьте, выполнены ли все предварительные условия. 14. Нажмите кнопку Далее. 15. Нажмите кнопку Установить, чтобы начать установку. Установщик отобразит флажок для выбора автоматического обновления ACC. Для получения более подробной информации по опции автоматического обновления см. раздел Параметры Автоматическое обновление ACC. 16. Нажмите кнопкуГотово. Проверка установки Enterprise Systems Connector После установки Enterprise Systems Connector вы можете проверить, успешно ли выполнена установка, с помощью консоли AirWatch. Примечание. Параметр «Протестировать соединение» подходит только для компонента ACC Enterprise Systems Connector. Он не подходит для компонента Соединитель VMware Identity Manager. VMware Inc. 35 Руководство по установке и настройке VMware Enterprise Systems Connector Процедура 1. Перейдите на Группы и настройки > Все настройки > Система > Интеграция предприятия > Cloud Connector. 2. Выберите параметр Протестировать соединение, расположенный внизу экрана, отобразится следующее сообщение. 3. При миграции определите, какие характеристики являются новыми, и протестируйте их новые функциональные возможности, чтобы определить, выполнена ли миграция успешно. Следующие шаги Теперь после успешной установки Enterprise Systems Connector вы можете использовать его для интеграции с инфраструктурой службы вашего каталога. VMware Inc. 36 Управление ACC 4 В данном разделе содержится информация по обновлениям компонента ACC и восстановлению сертификатов. В эту главу входят следующие темы: n Обновления ACC n Выполнение обновления ACC вручную n Восстановление сертификатов Обновления ACC Обновите AirWatch Cloud Connector (ACC) с консоли AirWatch для того, чтобы получить все преимущества от последнего устранения сбоев системы и ее усовершенствований. Данный процесс может быть автоматизирован с помощью параметра автоматического обновления ACC или выполнен вручную в ситуациях, когда приоритетным является осуществление управления администратором. Примечание. Для получения дополнительных сведений об обновлении компонента Соединитель VMware Identity Manager см. Обновление VMware Identity Manager Connector. Автоматическое обновление ACC При установке ACC по умолчанию устанавливается флажок автоматического обновления. Благодаря параметру автоматического обновления ACC автоматически обновляется до последней версии без вмешательства пользователя посредством отправки AirWatch запроса о наличии более новых версий ACC. AirWatch рекомендует разрешить автоматическое обновление (не снимайте флажок), но позволяет отключить его для тех сред и ситуаций, когда предпочтение отдается ручному обновлению. Примечание. Параметр автоматического обновления применяется только для ACC-компонента Enterprise Systems Connector. Он не применяется для компонента Соединитель VMware Identity Manager. VMware Inc. 37 Руководство по установке и настройке VMware Enterprise Systems Connector Преимущества автоматического обновления n Нет необходимости вручную определять, требуется ли обновление, а затем искать последнюю версию ACC — это сделает программа. n Пользователь может быть уверен в том, что имеет доступ к самым новым функциям, улучшениям и исправлениям. n Но самое главное — это наличие последней версии системы безопасности. Процесс обновления Автоматическое обновление ACC выполняется с помощью папок Bank1 и Bank2 в папке Cloud Connector. AirWatch определяет, какая из этих папок пуста, и направляет туда соответствующие файлы ACC, а также удаляет содержимое другой папки. При последующем обновлении AirWatch повторяет процесс, меняя папки. Данный процесс повторяется каждый раз при автоматическом обновлении до новой версии. Данный процесс проиллюстрирован на рисунке «Схема процесса обновления». Важно. Не удаляйте папки Bank1 и Bank2. Папки Bank1 и Bank2 являются неотъемлемой частью процесса автоматического обновления ACC. Рисунок 4‑1. Схема процесса обновления Безопасность при автоматическом обновлении Автоматическое обновление ACC выполняется с учетом безопасности. Каждое обновление подписывается AirWatch Console и проверяется ACC, поэтому выполняются только доверенные обновления. Процесс обновления также виден администратору AirWatch. Когда становится доступна новая версия, ACC узнает об этом с помощью запроса к AirWatch Console на порту 443, после чего происходит обновление. Во время обновления ACC до последней версии программа недоступна, поэтому наблюдается кратковременное прекращение обслуживания (то есть, прибл. на протяжении 1 минуты). Если установлено несколько серверов ACC, чтобы гарантировать, что все службы ACC не отключатся одновременно, в AirWatch используется случайный таймер процесса обновления, поэтому кратковременные перерывы в работе ACC происходят в разное время. VMware Inc. 38 Руководство по установке и настройке VMware Enterprise Systems Connector Если происходит автоматическое обновление ACC, версия в разделе «Установка и удаление программ» не меняется — исходная версия остается в списке. Версия в разделе «Установка и удаление программ» изменяется только при запуске установщика ACC. Лучший способ проверить, прошло ли автоматическое обновление успешно, — это посмотреть в файлах журнала ACC, какая версия запущена. Последствия отключения автоматического обновления Если вы выбрали отключение данной характеристики и ACC не обновляется, ACC остается в рабочем состоянии до тех пор, пока не произойдет что-либо из следующего. n ACC отключится и затем включится (намеренно либо при сбое подачи электричества). n Потребуется переустановка ACC. n Консоль AirWatch обновится до последней версии. n Сертификаты AirWatch, AWCM или ACC будут восстановлены. Когда сертификаты восстановлены, необходимо установить последнюю версию ACC и перезапустить устройство, чтобы признать новые сертификаты. Выполнение обновления ACC вручную AirWatch не рекомендует выполнять ручное обновление ACC, но этот метод доступен в качестве опции, если он более соответствует потребностям вашей среды. Для получения дополнительной информации об этой альтернативе см. раздел «Автоматическое обновление ACC». Процедура 1. Убедитесь, что на консоли AirWatch отключено автоматическое обновление. Это позволит сохранить последние файлы ACC.zip на сервере ACC при обновлении консоли и создать записи в файле журнала ACC с уведомлением о необходимости обновления ACC. 2. Остановите службу AirWatch Cloud Connector. 3. Выполните один из следующих подходов. а) Первый подход заключается в том, чтобы вручную распаковать файлы ACC.zip в папку Bank, упомянутую в файле журнала. Далее перезапишите существующие файлы в этой папке или удалите все файлы. При перезапуске службы Cloud Connector версия ACC будет обновлена. б) Второй подход — использовать любую из папок Bank. В этом случае оставьте файл .config или .config.old доступным в другой папке Bank, чтобы восстановить исходный файл .config в соответствии с настроенными значениями. Распакуйте файлы и перезапустите службу Cloud Connector, которая будет работать с обновленной версией. VMware Inc. 39 Руководство по установке и настройке VMware Enterprise Systems Connector Восстановление сертификатов Может потребоваться восстановление сертификатов, используемых для серверов AirWatch и AirWatch Cloud Connector (ACC), например если они устарели или нужны организации на регулярной основе. Этот процесс прост и выполняется с консоли AirWatch, но вам не потребуется снова загружать и запускать установщик ACC. Сертификаты содержат отпечаток и срок действия. Оба эти элемента можно очистить и восстановить одновременно, нажав на кнопку «Восстановить сертификаты» и следуя дальнейшим инструкциям. При восстановлении сертификатов ACC больше не сможет связываться с AirWatch, и вам потребуется выполнить процедуру установки снова, чтобы оба сервера могли распознавать новые сертификаты. Процедура 1. Перейдите на Группы и настройки > Все настройки > Система > Интеграция предприятия > Cloud Connector. Оба сертификата, их отпечатки и сроки действия отображаются на вкладке «Дополнительно». 2. Выберите Восстановить сертификаты, чтобы создать новый сертификат для серверов ACC и AirWatch. VMware Inc. 40 Руководство по установке и настройке VMware Enterprise Systems Connector 3. При необходимости введите свой PIN-код безопасности, чтобы подтвердить действие и подтвердить, что вы ознакомились с предупреждением. Старые сертификаты удаляются, а новые сертификаты, отпечатки и сроки действия восстанавливаются. Рисунок 4‑2. При вводе PIN-кода для подтверждения ACC больше не сможет связываться с сервером AirWatch. Чтобы восстановить связь между ACC и сервером AirWatch, вернитесь к разделу Установка ACC и выполните все шаги заново. Это позволит обоим серверам распознать последний сертификат и восстановить связь. VMware Inc. 41 Настройка и управление Соединитель VMware Identity Manager 5 В данном разделе содержится информация по настройке Соединитель VMware Identity Manager и управлению настройками администратора. Также здесь содержится информация по дополнительным настройкам. В эту главу входят следующие темы: n Настройка Соединитель VMware Identity Manager n Управление параметрами администрирования соединителя VMware Identity Manager n Включение параметров прокси-сервера после установки n Настройка высокой доступности для Соединитель VMware Identity Manager n Добавление метода проверки подлинности Kerberos для развертывания Соединитель VMware Identity Manager n Удаление экземпляра Соединитель VMware Identity Manager n Обновление VMware Identity Manager Connector Настройка Соединитель VMware Identity Manager После установки компонента Соединитель VMware Identity Manager вам необходимо настроить его. Настройка Соединитель VMware Identity Manager состоит из следующих шагов. 1. Создание кода активации и активация соединителя, если это еще не сделано во время установки. 2. Настройки каталога. 3. Включение адаптеров проверки подлинности на соединителе. 4. Включение режима поддержки только исходящих соединений для соединителя VMware Inc. 42 Руководство по установке и настройке VMware Enterprise Systems Connector Создание кода активации для Соединитель VMware Identity Manager Войдите на консоль администрирования VMware Identity Manager и сгенерируйте код активации для Соединитель VMware Identity Manager. Этот код активации используется для установки связи между арендатором и экземпляром соединителя. Примечание. Если служба VMware Identity Manager настроена в организационной группе AirWatch, с которой загружен установщик, код активации генерировать не требуется. Если соединитель активирован из установщика, код активации будет автоматически вводиться в поле Код активации. Продолжите работу с установщиком. Необходимые условия (Среды SaaS) Имеется URL-адрес арендатора VMware Identity Manager, например mycompany.vmwareidentity.com. При получении подтверждения на электронную почту перейдите по URL-адресу своего арендатора и войдите в систему , используя полученные учетные данные локального администратора. Этот администратор является локальным пользователем. Процедура 1. Войдите в консоль администрирования. 2. (Среды SaaS) Щелкните Принять, чтобы принять условия использования. 3. Откройте вкладку Управление учетными данными и доступом. 4. Щелкните Настройка. 5. На странице «Соединители» щелкните Добавление соединителей. 6. Введите имя для элемента «соединитель». 7. Щелкните Создать код активации. На странице отобразится код активации. VMware Inc. 43 Руководство по установке и настройке VMware Enterprise Systems Connector 8. Скопируйте код активации и сохраните его. Следующие шаги Если вы активируете компонент соединителя VMware Identity Manager во время работы установщика Enterprise Systems Connector, скопируйте код активации на страницу активации соединителя VMware IDM в установщике. Если вы активируете компонент соединителя VMware Identity Manager после установки, см. раздел Активация Соединитель VMware Identity Manager. Активация Соединитель VMware Identity Manager Если вы не активировали Соединитель VMware Identity Manager в установщике Enterprise Systems Connector во время установки, вы можете выполнить активацию позже, перейдя по URL-адресу https://vidmConnectorHostname:8443. Необходимые условия У вас будет код активации для соединителя. Процедура 1. Перейдите по URL-адресу https://vidmConnectorHostname:8443. Укажите vidmConnectorHostname в качестве полного названия домена. Например, https://myconnector.example.com:8443. VMware Inc. 44 Руководство по установке и настройке VMware Enterprise Systems Connector 2. На странице приветствия нажмите кнопку Продолжить. 3. На странице «Задать пароли» создайте пароль для страниц администрирования соединителя, затем щелкните Продолжить. Вы можете осуществлять доступ к данным страницам для того, чтобы собирать пакеты файлов регистрации и выгружать сертификаты. 4. На странице «Активировать соединитель» введите код активации и щелкните Продолжить. После успешной активации соединителя на странице появится сообщение «Настройка завершена». Настройка каталога После настройки и активации Соединитель VMware Identity Manager настройте каталог в консоли администрирования VMware Identity Manager и установите соединение с корпоративным каталогом для синхронизации пользователей и групп со службой. VMware Identity Manager поддерживает интеграцию с каталогами следующих типов. n Active Directory с протоколом LDAP n Active Directory (служба проверки подлинности, встроенная в Windows) n Каталог LDAP Перед настройкой каталога для получения более подробной информации смотри руководство Интеграция каталога с VMware Identity Manager. Здесь перечислены задачи для высокого уровня. Необходимые условия Предварительные требования зависят от типа каталога, с которым выполняется интеграция. Для получения подробной информации см.руководство Интеграция каталога с VMware Identity Manager. Процедура 1. Войдите в консоль администрирования VMware Identity Manager. Подсказка. Вы также можете войти в консоль администрирования, нажав ссылку Войти в консоль администрирования, после активации соединителя появится страница «Настройка завершена». VMware Inc. 45 Руководство по установке и настройке VMware Enterprise Systems Connector 2. Для синхронизации каталога выберите атрибуты пользователя. а) Откройте вкладку Управление учетными данными и доступом и щелкните Настройка. б) Во вкладке Атрибуты пользователя выберите, какие атрибуты необходимы. При необходимости добавьте дополнительные атрибуты. Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутом будут синхронизироваться со службой. Важно. Учтите следующие ограничения. n После создания каталога вы не можете изменить атрибут с необязательного на обязательный. Такие атрибуты необходимо выбрать сейчас. n Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Прежде чем отметить атрибут в качестве обязательного, оцените его влияние на другие каталоги. 3. Щелкните Добавить каталог и выберите тип каталога, который необходимо добавить. 4. Следуйте указаниям мастера, чтобы ввести сведения о настройке каталогов, выберите группы и пользователей для синхронизации и синхронизируйте их со службой VMware Identity Manager. Для получения более подробной информации см. раздел "Конфигурация соединения Active Directory со службой" на интеграции каталога с VMware Identity Manager. Следующие шаги Откройте вкладку Пользователи и группы и проверьте, чтобы пользователи были синхронизированы. Включение адаптеров проверки подлинности в Соединитель VMware Identity Manager В режиме поддержки только исходящих соединений для Соединитель VMware Identity Manager доступно несколько адаптеров проверки подлинности, в том числе PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter и RadiusAuthAdapter. Настройте и включите адаптеры, которые необходимо использовать. При создании каталога метод проверки подлинности с помощью пароля был активирован автоматически. PasswordIdpAdapter был настроен в соответствии с информацией, которую вы предоставили в каталоге. Процедура 1. В консоли администрирования VMware Identity Manager выберите вкладку Управление учетными данными и доступом. 2. Щелкните Настройка, а затем выберите вкладку Соединители. Отобразится список развернутых соединителей. VMware Inc. 46 Руководство по установке и настройке VMware Enterprise Systems Connector 3. Щелкните ссылку в столбце Сотрудник. 4. Перейдите на вкладку Модули авторизации. Здесь перечислены все доступные адаптеры проверки подлинности соединителя. Если каталог уже настроен, адаптер PasswordIdpAdapter также уже настроен и включен с использованием сведений о конфигурации, указанных при создании каталога. 5. Настройте и включите адаптеры проверки подлинности, которые необходимо использовать. Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации. Необходимо включить по крайней мере один адаптер проверки подлинности. Сведения о настройке определенных адаптеров проверки подлинности см. в руководстве по администрированию VMware Identity Manager. Пример: VMware Inc. 47 Руководство по установке и настройке VMware Enterprise Systems Connector Включение режима поддержки только исходящих соединений для Соединитель VMware Identity Manager Чтобы включить режим поддержки только исходящих соединений для Соединитель VMware Identity Manager, свяжите его со встроенным поставщиком удостоверений. VMware Inc. 48 Руководство по установке и настройке VMware Enterprise Systems Connector Встроенный поставщик удостоверений доступен в VMware Identity Manager по умолчанию и предоставляет дополнительные встроенные методы проверки подлинности, в том числе VMware Verify. Сведения о встроенном поставщике удостоверений см. в руководстве по администрированию VMware Identity Manager. Примечание. Соединитель можно одновременно использовать как в режиме поддержки только исходящих соединений, так и в обычном режиме. Даже при работе в режиме поддержки только исходящих соединений можно настроить проверку подлинности Kerberos для внутренних пользователей с помощью методов и политик проверки подлинности Процедура 1. В консоли администрирования на вкладке Управление учетными данными и доступом выберите Управление. 2. Перейдите на вкладку Поставщики удостоверений. 3. Щелкните ссылку Встроенный. 4. Введите следующие данные. Параметр Описание Пользователи Выберите каталог или домены, для которых будет использоваться встроенный поставщик удостоверений. Сеть Выберите сетевые диапазоны, для которых будет использоваться встроенный поставщик удостоверений. Соединители Выберите настраиваемый соединитель. Примечание. Позже, после добавления дополнительных соединителей для обеспечения высокой доступности, можно будет выбрать и добавить их все в этом разделе, чтобы затем связать их со встроенным поставщиком удостоверений. VMware Identity Manager автоматически распределяет трафик среди всех соединителей, связанных со встроенным поставщиком удостоверений. Подсистема балансировки нагрузки не требуется. Методы проверки подлинности Connector Здесь перечисляются методы развертывания, включенные для соединителя. Выберите нужные методы проверки подлинности. Адаптер PasswordIdpAdapter, который был автоматически настроен и включен при создании каталога, отображается на этой странице в виде элемента Пароль (облачная среда). Это означает, что он используется с соединителем в режиме поддержки только исходящих соединений. Пример: VMware Inc. 49 Руководство по установке и настройке VMware Enterprise Systems Connector 5. Щелкните Сохранить, чтобы сохранить конфигурацию встроенного поставщика удостоверений. 6. Измените политики, чтобы использовать включенные методы проверки подлинности. а) На вкладке Управление учетными данными и доступом щелкните Управление. б) Перейдите на вкладку Политики и выберите политику, которую нужно изменить. VMware Inc. 50 Руководство по установке и настройке VMware Enterprise Systems Connector в) В разделе Правила политики щелкните ссылку в столбце Метод проверки подлинности для правил, которые необходимо изменить. г) На странице «Изменить правило политики» выберите метод проверки подлинности, который следует использовать для этого правила. д) Нажмите кнопку ОК. е) Нажмите кнопку Сохранить. Дополнительные сведения о политиках настройки см. в руководстве по администрированию VMware Identity Manager. Теперь режим поддержки только исходящих соединений для соединителя включен. Когда пользователь входит в систему с помощью одного из методов проверки подлинности, которые включены для соединителя на странице встроенного поставщика удостоверений, HTTPперенаправление к соединителю не требуется. Управление параметрами администрирования соединителя VMware Identity Manager После выполнения первичной настройки соединителя VMware Identity Manager можно в любое время перейти на страницы администрирования соединителя, чтобы установить сертификаты, управлять паролями и загружать файлы журналов. Страницы администрирования Соединитель VMware Identity Manager также доступны по ссылке https://connectorFQDN:8443/cfg/login, например https://myconnector.example.com:8443/cfg/login. Войдите в систему как администратор соединителя, используя пароль администратора, заданный при установке соединителя. Таблица 5‑1. Настройки соединителя Параметр Описание Установка сертификатов SSL На вкладках на этой странице можно установить сертификат SSL для соединителя, загрузить самозаверяющийся корневой сертификат и установить доверенные корневые сертификаты. Примечание. Вкладка Сертификат сквозной передачи используется только в том случае, если проверка подлинности сертификата настроена во внедренном соединителе при развертывании в демилитаризованной зоне. В других случаях эта вкладка не используется. Дополнительные сведения см. в разделе Развертывание VMware Identity Manager в демилитаризованной зоне. Изменить пароль На этой странице можно изменить пароль администратора соединителя. Расположение файлов журнала На этой странице можно создать и загрузить пакет файлов журнала соединителя. VMware Inc. 51 Руководство по установке и настройке VMware Enterprise Systems Connector Использование сертификатов SSL для соединителя При установке соединителя VMware Identity Manager создается самозаверяющий сертификат SSL по умолчанию для серверов. В большинстве сценариев можно продолжать использовать этот самозаверяющий сертификат. Если соединитель развернут в режиме поддержки исходящих соединений, конечные пользователи не получают доступ к нему напрямую, поэтому не обязательно устанавливать сертификат SSL, подписанный открытым центром сертификации. Для доступа администратора к соединителю можно продолжить использовать самозаверяющий сертификат по умолчанию или использовать сертификат, созданный с помощью внутреннего центра сертификации. Однако, если включить KerberosIdpAdapter на соединителе, чтобы настроить проверку подлинности Kerberos для внутренних пользователей, конечные пользователи устанавливают SSLподключения к соединителю, поэтому у соединителя должен быть подписанный сертификат SSL. Используйте внутренний центр сертификации для создания сертификата SSL. Если для проверки подлинности Kerberos настроено обеспечение высокой доступности, перед экземплярами соединителя должна быть подсистема балансировки нагрузки. В этом случае в подсистеме балансировки нагрузки и всех экземплярах соединителя должны быть подписанные сертификаты SSL. Используйте внутренний центр сертификации для создания сертификатов SSL. Для сертификата подсистемы балансировки нагрузки используйте имя узла поставщика удостоверений Workspace, которое задается на странице конфигурации поставщика удостоверений Workspace, как обычное различающееся имя субъекта. Для каждого сертификата экземпляра соединителя используйте имя узла соединителя как обычное различающееся имя субъекта. Кроме того, можно создать один сертификат, используя имя узла поставщика удостоверений Workspace как обычное различающееся имя субъекта, а все имена узлов соединителя и имя узла поставщика удостоверений рабочей Workspace — как альтернативное имя субъекта (SAN). Установка подписанного сертификата SSL для соединителя Можно установить подписанный сертификат SSL для соединителя VMware Identity Manager со страниц администрирования соединителя по адресу https://connectorFQDN:8443/cfg/login. См. раздел Использование сертификатов SSL для соединителя для получения сведений о сценариях, в которых требуется сертификат SSL. Необходимые условия Создайте запрос на подпись сертификата (CSR) и получите подписанный сертификат SSL. У файлов сертификатов должен быть формат PEM. Процедура 1. Войдите на страницы администрирования соединителя по адресу https://connectorFQDN: 8443/cfg/login как администратор. 2. Щелкните Установка сертификатов SSL. VMware Inc. 52 Руководство по установке и настройке VMware Enterprise Systems Connector 3. На вкладке Сертификат сервера в поле Сертификат SSL выберите Пользовательский сертификат. 4. В текстовом поле Цепочка сертификатов SSL вставьте имя сервера, промежуточные и корневые сертификаты (в таком же порядке). Нужно вставить всю цепочку сертификатов в правильном порядке. Для каждого сертификата скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----». 5. В текстовом поле Закрытый ключ вставьте закрытый ключ. Скопируйте все содержимое между «----BEGIN RSA PRIVATE KE» и «---END RSA PRIVATE KEY». 6. Нажмите кнопку Добавить. Пример: Примеры сертификатов Пример цепочки сертификатов -----BEGIN CERTIFICATE----jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+ ... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1 -----END CERTIFICATE---------BEGIN CERTIFICATE----WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+ ... O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1 -----END CERTIFICATE---------BEGIN CERTIFICATE----dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+ ... 5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1 -----END CERTIFICATE----Пример цепочки закрытых ключей -----BEGIN RSA PRIVATE KEY----jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+ ... ... ... 1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1 -----END RSA PRIVATE KEY----- VMware Inc. 53 Руководство по установке и настройке VMware Enterprise Systems Connector Загрузка самозаверяющего сертификата корневого центра сертификации — соединитель При развертывании соединителя с самозаверяющим сертификатом SSL, который создается по умолчанию при установке соединителя, установите самозаверяющий сертификат корневого центра сертификации соединителя на всех клиентах, где есть доступ к соединителю. Сертификат корневого ЦС можно загрузить с консоли администрирования VMware Identity Manager. Процедура 1. Войдите на страницы администрирования соединителя VMware Identity Manager https://connectorFQDN:8443/cfg/login как администратор. 2. Щелкните Установка сертификатов SSL. 3. На вкладке Сертификат сервера щелкните ссылку в поле Самозаверяющие сертификаты корневого центра сертификации для устройства. Отобразятся сертификаты. 4. Скопируйте весь текст, включая строки -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----. Установка доверенных корневых сертификатов на соединителе Установите корневые или промежуточные сертификаты, которым доверяет соединитель VMware Identity Manager. Соединитель сможет установить безопасные подключения к серверам, цепочка сертификатов которых включает в себя любой из таких сертификатов. Сценарии, в которых необходимо установить доверенные корневые сертификаты на соединителе, перечислены ниже. n Если настроена подсистема балансировки нагрузки для обеспечения высокой доступности проверки подлинности Kerberos, установите на экземпляры соединителя сертификат корневого центра сертификации для подсистемы балансировки нагрузки, чтобы задать доверие между соединителями и подсистемой балансировки нагрузки. n Если выполнена интеграция опубликованных ресурсов Citrix, установите сертификат SSL для Integration Broker на соединители, которые будут обмениваться данными с Integration Broker. Процедура 1. Войдите на страницы администрирования соединителя по адресу https://connectorFQDN: 8443/cfg/login как администратор. 2. Перейдите на вкладку Установка сертификатов SSL, а затем Доверенные центры сертификации. 3. Вставьте корневой или промежуточный сертификат в текстовом поле. Скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----». 4. Нажмите кнопку Добавить. VMware Inc. 54 Руководство по установке и настройке VMware Enterprise Systems Connector Управление паролями соединителя VMware Identity Manager При установке Соединитель VMware Identity Manager вы создали пароль для администратора. Вы можете менять этот пароль со страниц администрирования соединителя. Важно. Убедитесь, что создаются надежные пароли. Надежные пароли должны состоять не менее чем из 8 символов, и содержать строчные и прописные буквы, а также по крайней мере одну цифру и специальный символ. Процедура 1. Войдите на страницы администрирования соединителя по адресу https://connectorFQDN: 8443/cfg/login как администратор. 2. Нажмите Изменить пароль. 3. Введите старый и новый пароль. Важно. Пароль администратора должен состоять не менее чем из 6 символов. 4. Нажмите кнопку Сохранить. Просмотр файлов журнала Соединитель VMware Identity ManagerФайлы журнала могут помочь выполнить отладку и устранить неполадки. Файлы журнала можно найти в каталоге InstallDirectory\IDMConnector\opt\vmware\horizon\workspace\logs. Чаще всего встречаются следующие файлы журнала. Таблица 5‑2. Файлы журнала Расположение файлов журнала в ОС Windows Описание Журналы конфигуратора InstallDirectory\IDMConnecto r\opt\vmware\horizon\workspac e\logs\configurator.log Запросы, поступающие в конфигуратор от клиента REST и веб-интерфейса пользователя. Журналы соединителя InstallDirectory\IDMConnecto r\opt\vmware\horizon\workspac e\logs\connector.log Запись каждого запроса, полученного из веб-интерфейса. Каждая запись журнала включает также URL-адрес, временную метку и исключения запроса. Действия по синхронизации не вносятся в журнал. Журналы Apache Tomcat InstallDirectory\IDMConnecto r\opt\vmware\horizon\workspac e\logs\catalina.log Сообщения Apache Tomcat, не записанные в другие файлы журнала. Компонент Помимо этого, можно загрузить пакет файлов журнала со страниц администрирования Соединитель VMware Identity Manager. VMware Inc. 55 Руководство по установке и настройке VMware Enterprise Systems Connector Загрузка пакета журналов Вы можете загрузить пакет файлов журнала для Соединитель VMware Identity Manager со страниц администрирования соединителя. Файлы журнала могут помочь выполнить отладку и устранить неполадки. Для сбора пакетов с каждого экземпляра соединителя в вашей среде, войдите на страницы администрирования для каждого экземпляра. Процедура 1. Войдите на страницы администрирования Соединитель VMware Identity Manager по адресу https://connectorFQDN:8443/cfg/login как администратор. 2. Щелкните Расположение файлов журнала, а затем выберите Подготовить пакет журнала. Информация для загрузки собрана в файл с расширением ZIP. 3. Загрузить пакет журналов. Настройка значения DEBUG в качестве уровня журнала VMware Identity Manager Connector Вы можете установить уровень ведения журнала DEBUG для регистрации дополнительных сведений, которые могут помочь при устранении проблем. Процедура 1. На сервере Windows, на котором установлен соединитель, перейдите в каталог install_dir\IDMConnector\usr\local\horizon\conf\. 2. Обновите уровень ведения журнала в файлах cfg-log4j.properties и hc-log4j.properties, которые представляют собой самые часто используемые файлы формата log4j для соединителя. а) Измените файл. б) В строках, для которых задан уровень ведения журнала INFO, замените INFO на DEBUG. Например, измените: rootLogger.level=INFO на: rootLogger.level=DEBUG в) Сохраните файл. Перезапускать службу или систему не нужно. VMware Inc. 56 Руководство по установке и настройке VMware Enterprise Systems Connector Включение параметров прокси-сервера после установки Если не задать параметры прокси-сервера HTTPS для компонента Соединитель VMware Identity Manager во время установки, их можно настроить позже, создав файл параметров прокси-сервера. Процедура 1. Войдите на сервер Windows. 2. Создайте следующий файл: install_dir\opt\vmware\horizon\workspace\bin\proxySettings.bat 3. Добавьте в файл следующий параметр: set "PROXY_OPTS=-Dhttps.proxyHost=proxyhost -Dhttp.proxyHost=proxyhost Dhttps.proxyPort=proxyport -Dhttp.proxyPort=proxyport", где proxyhost — это прокси-сервер HTTPS, а proxyport — порт прокси-сервера HTTPS. Чтобы указать узлы без прокси-сервера, доступ к которым должен предоставляться без прохождения через прокси-сервер, добавьте следующее значение для параметра PROXY_OPTS. -Dhttps.nonProxyHosts=hostList -Dhttp.nonProxyHosts=hostList где hostList — список узлов, разделенных |. В нем также могут содержаться подстановочные знаки. Пример: -Dhttps.nonProxyHosts=*.example.com|localhost -Dhttp.nonProxyHosts=*.example.com| localhost 4. Сохраните файл. 5. Чтобы запустить службу, выполните следующий сценарий. install_dir\usr\local\horizon\scripts\horizonService.bat restart Важно. Не перезапускайте службу с панели служб, так как настройки не обновятся надлежащим образом. Настройка высокой доступности для Соединитель VMware Identity Manager Для настройки высокой доступности Соединитель VMware Identity Manager и аварийного переключения можно добавить несколько экземпляров соединителя в кластер. Если один из экземпляров соединителя становится недоступным по какой-либо причине, другие экземпляры попрежнему будут доступны. Для создания кластера установите новые экземпляры соединителей и настройте их так же, как и те, что вы установили для первого соединителя. VMware Inc. 57 Руководство по установке и настройке VMware Enterprise Systems Connector Затем следует связать все экземпляры соединителя со встроенным поставщиком удостоверений. Служба VMware Identity Manager автоматически распределяет трафик среди всех соединителей, связанных с встроенным поставщиком удостоверений. Подсистема балансировки нагрузки не требуется. Если один из соединителей становится недоступным из-за проблем в сети, служба не направляет на него трафик. Когда подключение будет восстановлено, служба возобновляет отправку трафика на такой соединитель. Настройка кластера соединителей обеспечивает высокую доступность методов проверки подлинности, включенных на соединителе. Если один из экземпляров соединителя окажется недоступным, это не помешает пройти проверку подлинности. Тем не менее для поддержки синхронизации каталога в случае сбоя экземпляра соединителя необходимо вручную выбрать другой экземпляр соединителя для синхронизации. Синхронизацию каталога нельзя включить для нескольких соединителей одновременно. Примечание. Этот раздел неприменим в случае обеспечения высокой доступности проверки подлинности Kerberos. См. раздел Добавление метода проверки подлинности Kerberos для развертывания Соединитель VMware Identity Manager. Установить дополнительные экземпляры Соединитель VMware Identity Manager После установки и настройки первого экземпляра соединителя Соединитель VMware Identity Manager можно добавить дополнительные соединители для обеспечения высокой доступности, установив новые экземпляры соединителя и настроив их точно так же, как и первый экземпляр. Важно. Новые экземпляры соединителя должны быть активированы для той же службы VMware Identity Manager, что и первый экземпляр соединителя. Необходимые условия Установлен и настроен первый экземпляр соединителя, как описано в разделе Запуск установщика Enterprise Systems Connector. Процедура 1. Установите и настройте новый экземпляр соединителя Соединитель VMware Identity Manager, следуя этим инструкциям. n Запуск установщика Enterprise Systems Connector n Настройка Соединитель VMware Identity Manager Важно. Новый экземпляр соединителя должен быть активирован на той же службе VMware Identity Manager, что и первый соединитель. VMware Inc. 58 Руководство по установке и настройке VMware Enterprise Systems Connector 2. Свяжите новый соединитель Соединитель VMware Identity Manager с поставщиком удостоверений WorkspaceIDP первого экземпляра соединителя. а) Выберите в консоли администрирования VMware Identity Manager вкладку Управление учетными данными и доступом, а затем — вкладку Поставщики удостоверений. б) На странице «Поставщики удостоверений» найдите WorkspaceIDP первого экземпляра соединителя и щелкните ссылку. в) В поле Соединители выберите новый соединитель. г) Введите пароль для базового различающегося имени и щелкните Добавление соединителей. д) Нажмите кнопку Сохранить. 3. На новом соединителе настройте и включите адаптеры проверки подлинности. Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всех соединителях в кластере. Кроме того, на всех соединителях также должны быть включены одинаковые методы проверки подлинности. а) На вкладке Управление учетными данными и доступом выберите Настройка, а затем выберите пункт Соединители. б) Щелкните ссылку в столбце Сотрудник нового соединителя. в) Перейдите на вкладку Модули авторизации. Здесь перечислены все доступные адаптеры проверки подлинности соединителя. Адаптер PasswordIdpAdapter уже настроен и включен, поскольку новый соединитель связан с каталогом, который, в свою очередь, связан с первым соединителем. г) Настройте и включите другие адаптеры проверки подлинности так же, как первый соединитель. Убедитесь, что информация о конфигурации идентична. Сведения о настройке адаптеров проверки подлинности см. в руководстве по администрированию VMware Identity Manager. Следующие шаги Добавление нового экземпляра Соединитель VMware Identity Manager к встроенному поставщику удостоверений Добавление нового экземпляра Соединитель VMware Identity Manager к встроенному поставщику удостоверений После развертывания и настройки новых экземпляров Соединитель VMware Identity Manager добавьте их к встроенному поставщику удостоверений и включите на них те же методы проверки подлинности, которые включены на первом экземпляре соединителя. VMware Identity Manager автоматически распределяет трафик между всеми соединителями, связанными со встроенным поставщиком удостоверений. VMware Inc. 59 Руководство по установке и настройке VMware Enterprise Systems Connector Процедура 1. В консоли администрирования VMware Identity Manager на вкладке Управление учетными данными и доступом выберите Управление. 2. Перейдите на вкладку Поставщики удостоверений. 3. Щелкните ссылку Встроенный. 4. В поле Соединители выберите в раскрывающемся списке новый соединитель и нажмите Добавление соединителей. 5. В разделе Методы проверки подлинности программы Соединитель включите те же методы, которые включены для первого соединителя. Метод проверки подлинности «Пароль (облачная среда)» включается и настраивается автоматически. Другие методы проверки подлинности необходимо включать вручную. Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всех соединителях в кластере. Кроме того, на всех соединителях также должны быть включены одинаковые методы проверки подлинности. Сведения о настройке определенных адаптеров проверки подлинности см. в руководстве по администрированию VMware Identity Manager. 6. Щелкните Сохранить, чтобы сохранить конфигурацию встроенного поставщика удостоверений. Включение синхронизации каталога на другом соединителе в случае отказа В случае отказа экземпляра соединителя проверка подлинности выполняется автоматически с помощью экземпляра соединителя. Тем не менее для синхронизации каталога необходимо изменить его параметры в службе VMware Identity Manager так, чтобы вместо исходного использовался другой экземпляр соединителя. Синхронизацию каталога нельзя включить для нескольких соединителей одновременно. Процедура 1. Войдите в консоль администрирования VMware Identity Manager. 2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Каталоги. 3. Щелкните каталог, который был связан с исходным экземпляром соединителя. Подсказка. Эту информацию можно просмотреть на странице Настройка > Соединители. 4. В разделе Синхронизация службы каталогов и проверка подлинности на странице каталога выберите в раскрывающемся списке Синхронизируйте соединитель другой экземпляр соединителя. 5. В текстовом поле Пароль для базового различающегося имени введите пароль учетной записи для подключения Active Directory. VMware Inc. 60 Руководство по установке и настройке VMware Enterprise Systems Connector 6. Нажмите кнопку Сохранить. Добавление метода проверки подлинности Kerberos для развертывания Соединитель VMware Identity Manager В свое развертывание соединителей, работающих в режиме поддержки только исходящих соединений, можно добавить проверку подлинности Kerberos для внутренних пользователей, которым требуется режим поддержки только входящих соединений. Те же соединители можно настроить под использование проверки подлинности Kerberos для пользователей, которые подключаются из внутренней сети, а другой метод проверки подлинности применять для пользователей, которые подключаются из внешней сети. Для этого определите политики проверки подлинности на основании сетевых диапазонов. Требования и рекомендации. n Вне зависимости от типа каталога, настраиваемого в VMware Identity Manager, Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows), можно настроить проверку подлинности Kerberos. n Компьютер под управлением Windows, на который устанавливается компонент соединителя VMware Identity Manager, должен быть подключен к домену. n Компонент Соединитель VMware Identity Manager должен быть установлен как пользователь домена, который является частью группы администраторов на компьютере под управлением Windows. Вам необходимо запустить службу соединителя VMware IDM в качестве пользователя домена Windows. n У всех соединителей, на которых настроена проверка подлинности Kerberos, должен быть доверенный сертификат SSL. Его можно получить сертификат в своем внутреннем центре сертификации. Проверка подлинности Kerberos не работает с самозаверяющими сертификатами. Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинности Kerberos на одном или нескольких соединителях для обеспечения высокой доступности. n Чтобы настроить высокую доступность для проверки подлинности Kerberos, требуется подсистема балансировки нагрузки. Настройка и включение адаптера проверки подлинности Kerberos На Соединитель VMware Identity Manager настройте и включите KerberosIdpAdapter. При развертывании кластера для обеспечения высокой доступности адаптер следует настроить и включить на всех входящих в него соединителях. Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всех соединителях в кластере. Кроме того, на всех соединителях должны быть настроены одинаковые методы проверки подлинности. VMware Inc. 61 Руководство по установке и настройке VMware Enterprise Systems Connector При настройке адаптера проверки подлинности Kerberos соединитель VMware Identity Manager предпримет попытку инициализации Kerberos автоматически. Если служба соединителя VMware IDM была запущена с недостаточными правами для инициализации Kerberos, появится сообщение об ошибке. В таком случае следуйте инструкциям, приведенным в разделе http://kb.vmware.com/kb/2149753, для запуска сценария инициализации Kerberos. Дополнительные сведения о настройке проверки подлинности Kerberos см. в руководстве по администрированию VMware Identity Manager. Необходимые условия n Компьютер под управлением Windows, на который устанавливается соединитель VMware Identity Manager, должен быть подключен к домену. n Компонент Соединитель VMware Identity Manager должен быть установлен как пользователь домена, который является частью группы администраторов на компьютере под управлением Windows. Вам необходимо запустить службу соединителя VMware IDM в качестве пользователя домена Windows. Процедура 1. В консоли администрирования VMware Identity Manager выберите вкладку Управление учетными данными и доступом. 2. Щелкните Настройка, а затем выберите вкладку Соединители. Отобразится список всех развернутых соединителей. 3. Щелкните ссылку в столбце Сотрудник одного из соединителей. 4. Перейдите на вкладку Модули авторизации. 5. Щелкните ссылку KerberosIdpAdapter, а затем настройте и включите адаптер. Параметр Описание Имя Имя адаптера по умолчанию — KerberosIdpAdapter. Его можно изменить. Атрибут UID каталога Атрибут учетной записи, который содержит имя пользователя. Включить проверку подлинности Windows. Выберите этот параметр. Включить перенаправление Если в кластере есть несколько соединителей и планируется обеспечить высокую доступность Kerberos с помощью подсистемы балансировки нагрузки, выберите этот параметр и задайте значение параметра Имя узла для перенаправления. Если в среде используется только один соединитель, параметры Включить перенаправление и Имя узла для перенаправления использовать необязательно. Имя узла для перенаправления VMware Inc. Значение является обязательным, если выбран параметр Включить перенаправление. Введите собственное имя узла соединителя. Например, если имя узла соединителя — connector1.example.com, введите в текстовом поле connector1.example.com. 62 Руководство по установке и настройке VMware Enterprise Systems Connector Например: Сведения о настройке KerberosIdPAdapter см. в руководстве по администрированию VMware Identity Manager. 6. Нажмите кнопку Сохранить. Примечание. Если появляется сообщение о сбое инициализации Kerberos, запустите сценарий инициализации Kerberos вручную, следуя инструкциям в разделе http://kb.vmware.com/kb/2149753, далее вернитесь на эту страницу и настройте адаптер. 7. При развертывании кластера следует настроить и включить KerberosIdpAdapter на всех соединителях в этом кластере. Адаптер должен быть одинаково настроен на всех соединителях, за исключением значения «Имя узла для перенаправления», которое является специфическим для каждого из соединителей. Следующие шаги n Проверьте наличие доверенного сертификата SSL на всех соединителях, на которых включен параметр KerberosIdpAdapter. Его можно получить сертификат в своем внутреннем центре сертификации. Проверка подлинности Kerberos не работает с самозаверяющими сертификатами. Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинности Kerberos на одном или нескольких соединителях для обеспечения высокой доступности. n При необходимости настройте высокую доступность для проверки подлинности Kerberos. Без подсистемы балансировки нагрузки высокая доступность проверки подлинности Kerberos не обеспечивается. Настройка высокой доступности для проверки подлинности Kerberos Чтобы настроить высокую доступность для проверки подлинности Kerberos, установите подсистему балансировки нагрузки в вашей внутренней сети за брандмауэром и добавьте к ней экземпляр Соединитель VMware Identity Manager. VMware Inc. 63 Руководство по установке и настройке VMware Enterprise Systems Connector Кроме того, в подсистеме балансировки нагрузки необходимо задать определенные параметры, установить доверие SSL между этой подсистемой и экземпляром соединителя, а также изменить URL-адрес проверки подлинности соединителя, чтобы в нем использовалось имя узла подсистемы балансировки нагрузки. Настройка параметров подсистемы балансировки нагрузки В подсистеме балансировки нагрузки необходимо настроить ряд параметров, в том числе правильное время ожидания и поддержку закрепленных сеансов. Настройте следующие параметры. n Время ожидания средства балансировки нагрузки В некоторых случаях для правильной работы Соединитель VMware Identity Manager необходимо увеличить заданное по умолчанию время ожидания для запросов средства балансировки нагрузки. Это значение задается в минутах. Если значение времени ожидания слишком мало, может отобразиться следующее сообщение об ошибке. Ошибка 502. В настоящее время служба недоступна. n Включение закрепляемых сеансов Если в развернутой системе находится несколько экземпляров соединителя, следует включить закрепляемые сеансы в подсистеме балансировки нагрузки. После этого средство балансировки нагрузки будет привязывать сеанс пользователя к определенному экземпляру соединителя. Применение корневого сертификата Соединитель VMware Identity Manager в подсистеме балансировки нагрузки Если Соединитель VMware Identity Manager настроено после подсистемы балансировки нагрузки, необходимо установить соответствие SSL между соединителем и подсистемой балансировки нагрузки. Корневой сертификат соединитель должен быть скопирован в подсистему балансировки нагрузки в качестве доверенного корневого сертификата. Сертификат Соединитель VMware Identity Manager можно загрузить со страниц администрирования соединителя по ссылке https://connectorFQDN:8443/cfg/ssl. Если доменное имя соединителя указывает на подсистему балансировки нагрузки, сертификат SSL применяется только к нему. Процедура 1. Войдите на страницы администрирования соединителя на https://connectorFQDN:8443/cfg/login, как администратор. 2. Выберите Установка сертификатов SSL. VMware Inc. 64 Руководство по установке и настройке VMware Enterprise Systems Connector 3. На вкладке Сертификат сервера щелкните ссылку в поле Самозаверяющие сертификаты корневого центра сертификации для устройства. 4. Скопируйте все содержимое между линиями и сами линии «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----» и вставьте корневой сертификат в нужное расположение для каждого средства балансировки нагрузки. Дополнительные сведения см. в документации по подсистеме балансировки нагрузки. Следующие шаги Скопируйте и вставьте корневой сертификат подсистемы балансировки нагрузки на Соединитель VMware Identity Manager. Применение корневого сертификата подсистемы балансировки нагрузки в Соединитель VMware Identity Manager Если компонент Соединитель VMware Identity Manager настроен после подсистемы балансировки нагрузки, необходимо установить соответствие между соединителем и подсистемой балансировки нагрузки. Кроме копирования корневого сертификата соединителя в подсистему балансировки нагрузки, необходимо скопировать корневой сертификат подсистемы балансировки нагрузки в соединитель. Процедура 1. Получите корневой сертификат средства балансировки нагрузки. 2. Перейдите на страницы администрирования Соединитель VMware Identity Manager на https://connectorFQDN:8443/cfg/login и войдите в систему как администратор. 3. Перейдите на вкладку Установка сертификатов SSL > Доверенные центры сертификации. VMware Inc. 65 Руководство по установке и настройке VMware Enterprise Systems Connector 4. Вставьте текст сертификата подсистемы балансировки нагрузки в текстовое поле Корневой или промежуточный сертификат. 5. Нажмите кнопку Добавить. Изменение имени узла поставщика удостоверений соединителя на имя узла подсистемы балансировки нагрузки После добавления экземпляров Соединитель VMware Identity Manager в подсистему балансировки нагрузки необходимо сменить в Workspace имя узла поставщика удостоверений каждого соединителя на имя узла подсистемы балансировки нагрузки. Необходимые условия Экземпляры соединителя настраиваются за подсистемой балансировки нагрузки. Убедитесь, что подсистема балансировки нагрузки использует порт 443. Не используйте порт 8443, так как это номер порта администрирования. Процедура 1. Войдите в консоль администрирования VMware Identity Manager. 2. Откройте вкладку Управление учетными данными и доступом. 3. Перейдите на вкладку Поставщики удостоверений. 4. На странице «Поставщики удостоверений» щелкните ссылку на поставщика удостоверений Workspace для экземпляра соединителя. 5. В текстовом поле Имя узла поставщика удостоверений измените имя узла соединителя на имя узла подсистемы балансировки нагрузки. Например, если имя узла вашего соединителя мой_соединитель, а имя узла подсистемы балансировки нагрузки (ПБН) мое_ПБН, можно изменить URL-адрес myconnector.mycompany.com:порт VMware Inc. 66 Руководство по установке и настройке VMware Enterprise Systems Connector на следующий: mylb.mycompany.com:порт Удаление экземпляра Соединитель VMware Identity Manager Экземпляр Соединитель VMware Identity Manager можно удалить из службы VMware Identity Manager. Экземпляр соединитель нельзя удалить, если с ним связан каталог. VMware Inc. 67 Руководство по установке и настройке VMware Enterprise Systems Connector Например, иногда экземпляр соединитель нужно удалить, чтобы использовать то же имя узла для нового экземпляра соединитель. Процедура 1. Войдите в консоль администрирования VMware Identity Manager. 2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Настройка. 3. Если каталог связан с экземпляром соединитель, который необходимо удалить, сначала следует удалить каталог. а) Щелкните имя каталога в столбце Связанный каталог. б) Нажмите кнопку Удалить каталог. 4. На странице Настройка > Соединители щелкните значок Удалить рядом с экземпляром соединитель, который необходимо удалить, а затем нажмите Подтвердить. Экземпляр соединитель будет удален из службы VMware Identity Manager. 5. Выполните деинсталляцию компонентаСоединитель VMware Identity Manager с сервера Windows, на котором он установлен. Обновление VMware Identity Manager Connector Чтобы обновить компонент Соединитель VMware Identity Manager соединителя Enterprise Systems Connector, загрузите установщик из консоли AirWatch последней версии и запустите его. Удалять старую версию не нужно. После обновления не требуется создавать код активации или повторно активировать Соединитель VMware Identity Manager. Существующая конфигурация применяется к обновленному соединителю. Процедура 1. Войдите в консоль AirWatch последней версии. 2. Последовательно щелкните Группы и параметры > Все настройки > Система > Интеграция предприятия > VMware Enterprise Systems Connector. 3. На вкладке Общие щелкните Загрузить установщик VMware Enterprise Systems Connector. Отобразится страница «Загрузка установщика VMware Enterprise Systems Connector». 4. Создайте пароль для сертификата и нажмите кнопку Скачать. Этот пароль потребуется для установки компонента ACC. 5. Сохраните файл установщика на том же сервере Windows, где установлена предыдущая версия соединителя. 6. Запустите установщик и следуйте указаниям, чтобы выполнить обновление. VMware Inc. 68 Руководство по установке и настройке VMware Enterprise Systems Connector 7. Если среда JRE была обновлена во время обновления соединителя, необходимо восстановить файл cacerts, резервная копия которого была создана установщиком в ходе обновления. Скопируйте файл opt\vmware\horizon\workspace\install\cacerts.sav в созданную папку JAVA_HOME\lib\security под именем cacerts, без расширения .sav. Он заменит имеющийся в папке файл cacerts. Примечание. Если во время обновления установщик обнаружит, что на сервере Windows установлена среда JRE, версия которой меньше версии среды JRE, входящей в состав установщика, то будет предложено установить новую версию JRE. 8. После завершения обновления перезагрузите сервер Windows. После перезагрузки сервера для переменной JAVA_HOME будет установлено значение, соответствующее последней версии среды JRE, которая была установлена во время обновления, и соединитель сможет использовать эту новую версию. Следующие шаги После обновления до версии 9.2.2 измените файл install_dir\IDMConnector\usr\local\horizon\conf\runtime-config.properties и измените значение свойства connector.api.version на значение 5. Примечание. Это нужно сделать только при обновлении до версии 9.2.2 с более ранней версии. Обновление среды Java на сервере соединителя Для компонента соединителя VMware Identity Manager Connector требуется среда Java Runtime Environment (JRE). Версия JRE, которая требуется соединителю VMware Enterprise Systems Connector, входит в состав установщика для этого соединителя. При обновлении компонента соединителя VMware Identity Manager предлагается также обновить среду JRE. Информацию об обновлении среды JRE при работе с установщиком см. в разделе Обновление VMware Identity Manager Connector. Если необходимо обновить среду JRE на сервере соединителя в произвольный момент времени, выполните указанные ниже действия, чтобы гарантировать правильную работу VMware Identity Manager Connector после обновления JRE. Примечание. Если JRE обновится автоматически, выполните шаги 3–6 после обновления. Примечание. Эта процедура применима к VMware Identity Manager Connector версии 3.1 и более поздней. Процедура 1. Остановите службу соединителя. 2. Установите новую версию JRE. VMware Inc. 69 Руководство по установке и настройке VMware Enterprise Systems Connector 3. Обновите переменную среды JAVA_HOME, чтобы она указывала на новую среду JRE. 4. Измените файл %JAVA_HOME%/lib/security/java.security и добавьте следующий параметр: crypto.policy=unlimited 5. Откройте командную строку от имени администратора и выполните следующий сценарий: install_dir\IDMConnector\usr\local\horizon\scripts\reloadInstalledRootCerts.bat 6. Перезапустите службу соединителя. VMware Inc. 70 Миграция каталога из ACC в Соединитель VMware Identity Manager 6 Клиенты Workspace ONE, которые развернули синхронизацию Active Directory с VMware Identity Manager, используя только существующие соединители, должны выполнить процедуру миграции для получения дополнительного функционала, включенного в Соединитель VMware Identity Manager компонент Enterprise Systems Connector. Это одноразовая процедура, во время которой каталог ACC типа «Другой» конвертируется в каталог типа Active Directory по LDAP или Active Directory (встроенная проверка подлинности Windows), которые связаны с Соединитель VMware Identity Manager. В результате выполнения данной процедуры никакой существующий каталог не удаляется, равно как и все права, связанные с ним. Примечание. Модель только ACC для синхронизации каталогов и проверки подлинности с VMware Identity Manager все еще доступна и поддерживается простым обновлением ACC. Процедура миграции необходима только в том случае, если вы хотите воспользоваться новыми функциями. При преобразовании в каталог с типом «Другой» предусматривается выполнение следующих задач. 1. Выполните преобразование каталога с типом «Другой» в Active Directory по LDAP либо Active Directory (встроенная проверка подлинности Windows). 2. При необходимости настройте дополнительные методы проверки подлинности программы Соединитель VMware Identity Manager для каталога. Метод проверки подлинности с помощью пароля доступен по умолчанию. 3. Отредактируйте политику по умолчанию и любые пользовательские политики для использования пароля либо другого метода проверки подлинности VMware Identity Manager вместо пароля (AirWatch Connector). 4. Остановите синхронизацию пользователей и групп из AirWatch в каталог VMware Identity Manager. В эту главу входят следующие темы: n Преобразование каталога типа «Другой» в Active Directory с протоколом LDAP либо Active Directory (встроенная проверка подлинности Windows) n Остановка синхронизации каталога с AirWatch в VMware Identity Manager VMware Inc. 71 Руководство по установке и настройке VMware Enterprise Systems Connector Преобразование каталога типа «Другой» в Active Directory с протоколом LDAP либо Active Directory (встроенная проверка подлинности Windows) Можно преобразовать каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из AirWatch, в каталог типа Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows), связанный с соединителем VMware Identity Manager. После преобразования каталога соединитель VMware Identity Manager будет использоваться вместо ACC для синхронизации пользователей и групп из корпоративного каталога в VMware Identity Manager. Необходимые условия n Установите и активируйте компонент Соединитель VMware Identity Manager VMware Enterprise Systems Connector на сервере Windows Server. Чтобы использовать некоторые функции, сервер Windows Server должен быть соединен с доменом, установка компонента Соединитель VMware Identity Manager должна быть выполнена от имени пользователя домена, который входит в группу администраторов сервера Windows Server, а служба IDM Connector должна быть запущена от имени пользователя домена Windows. Данное требование применимо для следующих случаев. n n Если вы планируете преобразовать каталог с типом «Другой» в Active Directory (встроенная проверка подлинности Windows) n Если вы планируете использовать проверку подлинности Kerberos n Если планируется интеграция Horizon View с VMware Identity Manager и требуется воспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройка сервера подключений 5.x». Вам понадобится следующая информация по Active Directory: n Если вы выполняете преобразование в Active Directory по LDAP, требуется указать базовое различающееся имя, различающееся имя домена и пароль к нему. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия. n Если вы выполняете преобразование в Active Directory (встроенная проверка подлинности Windows), потребуется UPN-адрес и пароль пользователя привязки. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия. n Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуется сертификат корневого центра сертификации контроллера домена Active Directory. VMware Inc. 72 Руководство по установке и настройке VMware Enterprise Systems Connector n Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя привязки в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена. Процедура 1. В консоли администрирования VMware Identity Manager перейдите на вкладку Управление учетными данными и доступом и выберите вкладку Каталоги. 2. Нажмите название каталога, который вы хотите преобразовать. 3. На странице каталога нажмите кнопку Преобразовать. 4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows). 5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога. Для получения более подробной информации см. раздел «Конфигурация соединения Active Directory со службой» в руководстве Интеграция каталога с VMware Identity Manager. Придерживайтесь следующих инструкций. n В поле Синхронизация соединителя выберите установленный соединитель VMware Identity Manager. n В разделе Синхронизация каталогов и проверка подлинности выберите Да для параметра Проверка подлинности, если только вы не собираетесь использовать для проверки подлинности стороннего поставщика удостоверений вместо соединителя. n Убедитесь, что вы настроили преобразованный каталог точно так же, как и каталог AirWatch. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога AirWatch, так, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы. 6. На последней странице мастера нажмите Синхронизировать каталог. Каталог будет преобразован и настроен для использования соединителя VMware Identity Manager. Будет создан поставщик удостоверений Workspace, если он еще не существовал до этого, и каталог будет автоматически связан с этим поставщиком. Метод проверки подлинности с помощью пароля для данного каталога уже активирован. VMware Inc. 73 Руководство по установке и настройке VMware Enterprise Systems Connector 7. (Необязательно) Для активации других методов проверки подлинности каталога выполните данные шаги. а) На вкладке Управление учетными данными и доступом щелкните Настройка. б) На странице «Соединители» определите соединитель и рабочий процесс, с которым связан преобразованный каталог, и нажмите ссылку в столбце Рабочий процесс. в) На странице рабочего процесса нажмите вкладку Адаптеры проверки подлинности. г) Настройте и включите адаптеры проверки подлинности, которые необходимо использовать для каталога. Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации. Для получения более подробной информации по настройке адаптеров подлинности см. раздел Управление VMware Identity Manager. 8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы выбрать методы проверки подлинности соединителя VMware Identity Manager вместо использования пароля (AirWatch Connector). а) На вкладке Управление учетными данными и доступом выберите вкладку Политики. б) Щелкните Редактировать политику по умолчанию. в) В меню Правила и политика отредактируйте столбец Методы проверки подлинности для каждого правила и вместо Пароль (AirWatch Connector) выберите Пароль. Это будет методом определения подлинности VMware Identity Manager соединителя. г) Cнова выберите вкладку Политики и измените пользовательские политики, если таковые имеются, так, чтобы в них использовался пароль либо иной настроенный вами метод проверки подлинности VMware Identity Manager соединителя. Важно. Если не заменить Пароль (Airwatch Connector) на Пароль либо иной метод VMware Identity Manager проверки подлинности на основе соединителя, пользователи конвертированного каталога не смогут войти в систему. Следующие шаги Остановить синхронизацию каталога с AirWatch на конвертированный каталог. Остановка синхронизации каталога с AirWatch в VMware Identity Manager После преобразования каталога с типом «Другой» в Active Directory по LDAP или Active Directory (встроенная проверка подлинности Windows) и его объединение с соединителем VMware Identity Manager, соединитель VMware Identity Manager используется для синхронизации пользователей и групп с вашего корпоративного каталога с преобразованным каталогом. Требуется остановить синхронизацию пользователя и группы с AirWatch в каталог VMware Identity Manager. VMware Inc. 74 Руководство по установке и настройке VMware Enterprise Systems Connector Процедура 1. В консоли AirWatch перейдите в раздел «Организационная группа». 2. Перейдите на страницу Группы и настройки > Все настройки > Система > Интеграция на предприятии > VMware Identity Manager. 3. Нажмите кнопку Удалить, расположенную внизу страницы. Преобразование каталога завершено. Пользователи и группы теперь синхронизированы с каталога вашего предприятия в службу VMware Identity Manager с помощью соединителя VMware Identity Manager. Пользователи могут по-прежнему входить в систему и пользоваться своими приложениями. Примечание. Имя домена отображено на странице входа в систему и может отличаться от изначального после того, как каталог был преобразован, если имя домена отличается от имени домена NETBIOS. При синхронизации AirWatch будет отображено имя домена NETBIOS. При синхронизации соединителя VMware Identity Manager будет отображено имя домена. VMware Inc. 75 Устранение неполадок в Enterprise Systems Connector 7 В статьях по устранению неполадок описаны стандартные проблемы и решения для установки и управления Enterprise Systems Connector. Сброс пароля администратора для Соединитель VMware Identity Manager Можно изменить пароль администратора Соединитель VMware Identity Manager со страниц администрирования соединителя по адресу https://connectorFQDN:8443/cfg/login. Однако если не удается войти в систему и требуется сбросить пароль, можно использовать сценарий hznSetAdminPassword.bat для сброса пароля. Процедура 1. В Windows Server откройте окно командной строки. 2. Перейдите в папку INSTALL_DIR\IDMConnector\usr\local\horizon\bin: cd INSTALL_DIR\IDMConnector\usr\local\horizon\bin где INSTALL_DIR — каталог установки Соединитель VMware Identity Manager . 3. Выполните следующую команду: hznSetAdminPassword.bat newPassword VMware Inc. 76