Руководство наст ройке VMware по уст ановке и ......Руководство по уст ановке и наст ройке VMware Enterprise Systems

Руководство по установке инастройке VMwareEnterprise SystemsConnectorМАЙ 2018 Г.VMware Identity Manager 3.2VMware Identity ManagerVMware AirWatch 9.3

Руководство по установке и настройке VMware Enterprise Systems Connector

VMware Inc. 2

Самая последняя техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Все замечания по данной документации отправляйте по адресу:

[email protected]

(c) VMware Inc., 2017, 2018 гг. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

Установка и настройка VMware Enterprise Systems Connector 5

1. Обзор VMware Enterprise Systems Connector 6

О компоненте VMware Enterprise Systems Connector 6

Системные требования для Enterprise Systems Connector 8

2. Обзор архитектуры Enterprise Systems Connector 19

Модель использования SaaS Enterprise Systems Connector 19

Модель локального развертывания Enterprise Systems Connector 20

Рабочие потоки интеграции сертификатов компонентов ACC 22

3. Процесс установки Enterprise Systems Connector 23

Определение компонентов для настройки 24

(Только для локальных клиентов) Установка сертификата безопасного канала на AWCM 25

Установка связи с AWCM 25

Получение установщика VMware Enterprise Systems Connector 26

Включение Enterprise Systems Connector с консоли AirWatch 27

Запуск установщика Enterprise Systems Connector 29

Проверка установки Enterprise Systems Connector 35

4. Управление ACC 37

Обновления ACC 37

Выполнение обновления ACC вручную 39

Восстановление сертификатов 40

5. Настройка и управление Соединитель VMware Identity Manager 42

Настройка Соединитель VMware Identity Manager 42

Управление параметрами администрирования соединителя VMware Identity Manager 51

Включение параметров прокси-сервера после установки 57

Настройка высокой доступности для Соединитель VMware Identity Manager 57

Добавление метода проверки подлинности Kerberos для развертывания Соединитель

VMware Identity Manager 61

Удаление экземпляра Соединитель VMware Identity Manager 67

Обновление VMware Identity Manager Connector 68

6. Миграция каталога из ACC в Соединитель VMware Identity Manager 71

Преобразование каталога типа «Другой» в Active Directory с протоколом LDAP либо Active

Directory (встроенная проверка подлинности Windows) 72

VMware Inc. 3

Остановка синхронизации каталога с AirWatch в VMware Identity Manager 74

7. Устранение неполадок в Enterprise Systems Connector 76

Сброс пароля администратора для Соединитель VMware Identity Manager 76


VMware Inc. 4

Установка и настройкаVMware Enterprise Systems Connector

В разделе VMware Enterprise Systems ConnectorУстановка и настройка представлены сведенияпо настройке компонента VMware Enterprise Systems Connector на основе Windows™, которыйпредоставляет предприятию возможность выполнять интеграцию VMware AirWatch® и VMwareIdentity Manager™ с системами предприятий.

В данном документе предоставлена информация по установке обоих компонентовVMware Enterprise Systems Connector: AirWatch Cloud Connector и СоединительVMware Identity Manager.

Данная информация применима как к использованию в сценарии с SaaS, так и в сценариилокального развертывания. Примечания в тексте указаны для разных сред.

Целевая аудиторияДанная информация предназначена для опытных администраторов Windows. Она применима какдля клиентов SaaS, так и на локальных пользователей.

Глоссарий VMware Technical PublicationsVMware Technical Publications предоставляет глоссарий с терминами, которые могут бытьнезнакомы читателю. Определения терминов, используемых в технической документации VMware,можно найти на странице http://www.vmware.com/support/pubs.

VMware Inc. 5

http://www.vmware.com/support/pubs

ОбзорVMware Enterprise SystemsConnector 1Перед установкой VMware Enterprise Systems Connector просмотрите требования к системе,архитектуре и моделям развертывания.

В эту главу входят следующие темы:

n О компоненте VMware Enterprise Systems Connector

n Системные требования для Enterprise Systems Connector

О компоненте VMware Enterprise Systems ConnectorAirWatch Cloud Connector (ACC) включен в VMware AirWatch 9.1 и более поздних версий в качествекомпонента нового установщика под названием VMware Enterprise Systems Connector. Этотустановщик выполняет функцию унифицированного пакета соединителя для Workspace ONE,AirWatch и Identity. Он состоит из двух компонентов: ACC и Соединитель VMware Identity Manager.

В процессе установки можно выбрать компоненты, которые нужно установить.

Ознакомьтесь с разделом Определение компонентов для настройки, чтобы узнать, когдарекомендуется установка обоих компонентов.

VMware Inc. 6

Компонент AirWatch Cloud ConnectorAirWatch Cloud Connector (ACC) предоставляет организациям возможность интегрировать AirWatchс их корпоративными серверными системами.

ACC работает во внутренней сети, выступая в качестве прокси-сервера, который безопаснопередает запросы от AirWatch на важнейшие компоненты инфраструктуры предприятия. Этопозволяет организациям использовать преимущества AirWatch Mobile Device Management (MDM)при работе в любой конфигурации вместе с функциями их существующего протокола LDAP, центрасертификации, электронной почты и других внутренних систем. См. также раздел Глава 2 Обзорархитектуры Enterprise Systems Connector.

ACC интегрируется со следующими внутренними компонентами.

n Узел электронной почты (SMTP)

n Службы каталогов (LDAP/AD)

n Управление электронной почтой Exchange 2010 (PowerShell)

n BlackBerry Enterprise Server (BES)

n Веб-служба Lotus Domino (HTTPS)

n Syslog (данные журнала событий)

Следующие компоненты доступны только в случае приобретения дополнительного модуля PKIIntegration, который доступен отдельно.

n Службы сертификации Microsoft (PKI)

n Простой протокол регистрации сертификатов (SCEP PKI)

n Сторонние службы сертификации компонентов (используемые только локально)

Компонент Соединитель VMware Identity ManagerСоединитель VMware Identity Manager обеспечивает интеграцию каталогов, проверку подлинностипользователей и интеграцию с такими ресурсами, как Horizon View.

Использование компонента Соединитель VMware Identity Manager обеспечивает следующиедополнительные возможности развертывания.

n Методы проверки подлинности на основе Соединитель VMware Identity Manager, такие какпароль, RSA Adaptive Authentication, RSA SecurID и Radius

n Проверка подлинности Kerberos для внутренних пользователей

n Интеграция со следующими ресурсами:

n Пулы рабочих столов и приложений Horizon View

n Опубликованные ресурсы Citrix.

n VMware Horizon® Cloud Service c удаленной и локальной инфраструктурой™


VMware Inc. 7

Руководство по началу работы

Примечание. В случае локального развертывания перед выполнением инструкций из этогоруководства следует выполнить процедуры, описанные в руководстве AirWatch Cloud MessagingService (AWCM).

Локальные клиенты должны убедиться в том, что AWCM правильно установлен, а также работает ивзаимодействует с AirWatch без ошибок.

Системные требования для Enterprise Systems ConnectorПеред развертыванием Enterprise Systems Connector убедитесь, что система соответствуетнеобходимым требованиям.

Требования к оборудованиюИспользуйте следующие требования как основу для создания сервераEnterprise Systems Connector.

Если вы устанавливаете только компонент ACC, используйте следующие требования.

Таблица 1‑1. Требования ACC

Число пользователей До 10 000 10 000 до 50 000 50 000 до 100 000

Ядра ЦПУ 2 2 сервера сосбалансированнойнагрузкой и 2 ядрами ЦПУ

3 сервера сосбалансированнойнагрузкой и 2 ядрами ЦПУ

RAM (ГБ) на сервер 4 4 каждый 8 каждый

Емкость диска (ГБ) 50 50 каждый 50 каждый

Для компонента Соединитель VMware Identity Manager необходимо соответствие следующимдополнительным требованиям. Если вы устанавливаете как компоненты ACC, так и компонентыСоединитель VMware Identity Manager, добавьте данные требования к требованиям ACC,


VMware Inc. 8

Таблица 1‑2. Требования Соединитель VMware Identity Manager

Числопользователей До 1000 1000 до 10 000 10 000 до 25 000 25 000 до 50 000 50 000 до 100 000

ЦП 2 2 сервера сосбалансированной нагрузкой,каждый с 4 ЦПУ

2 сервера сосбалансированной нагрузкой,каждый с 4 ЦПУ

2 сервера сосбалансированной нагрузкой,каждый с 4 ЦПУ

2 сервера сосбалансированнойнагрузкой, каждыйс 4 ЦПУ

RAM (ГБ) насервер

6 6 каждый 8 каждый 16 каждый 16 каждый

Емкость диска(ГБ)

50 50 каждый 50 каждый 50 каждый 50 каждый

Примечание. n Для компонента ACC нагрузка трафика балансируется автоматически компонентом AWCM. Для

этого нет необходимости в отдельном устройстве балансировки нагрузки. Все множественныеэкземпляры ACC в одной организационной группе, которые подключены к одному серверуAWCM для высокой доступности, могут ожидать получения трафика (конфигурация лайв-лайв).Как направляется трафик, определяется AWCM и зависит от поточной нагрузки.

n Для компонента Соединитель VMware Identity Manager см. раздел Настройка высокойдоступности для Соединитель VMware Identity Manager.

n Ядра ЦПУ для каждого — на 2,0 ГГц и выше. Требуется процессор Intel.

n Требования к свободному объему на диске: 1 ГБ для приложения Enterprise Systems Connector,Windows OS и среда выполнения .NET. Для входа в систему необходимо дополнительноесвободное пространство на диске.

Требования к программному обеспечениюУбедитесь, что ваш сервер Enterprise Systems Connector отвечает следующим требованиям кпрограммному обеспечению.


VMware Inc. 9

Проверкастатуса Требования Примечания

WindowsServer 2008 R2

Windows Server 2012

WindowsServer 2012 R2 или

Windows Server 2016

Необходим для обоих компонентов

Установить на серверPowerShell


Примечание. (Компонент AirWatch Cloud Connector) Необходима версияPowerShell 3.0+ при развертывании модели PowerShell MEM напрямую дляэлектронной почты. Чтобы проверить свою версию, откройте PowerShell изапустите команду $PSVersionTable.

Примечание. (Компонент Соединитель VMware Identity Manager) необходимаверсия PowerShell 4.0 для установки на Windows Server 2008 R2.

Установлена средаNET Framework 4.6.2.


Примечание. (Компонент AirWatch Cloud Connector) Характеристикаавтоматического обновления AirWatch Cloud Connector не будетфункционировать надлежащим образом, пока вы не обновите свой серверEnterprise Systems Connector до версии .NET Framework 4.6.2. Функцияавтоматического обновления не будет обновлять .NET Frameworkавтоматически. Установить .NET Framework 4.6.2 вручную на серверEnterprise Systems Connector до выполнения обновления.

Общие требованияУбедитесь, что ваш сервер Enterprise Systems Connector настроен в соответствии со следующимиобщими требованиями для того, чтобы обеспечить правильность установки.

Проверкастатуса Требования Примечания

Убедитесь, что у вас естьудаленный доступ ксерверам, на которыхустановлен AirWatch.

VMware AirWatch рекомендует настроить диспетчер подключений к удаленномурабочему столу для управления несколькими серверами. Вы можете загрузитьустановщик с сайтаhttps://www.microsoft.com/en-us/download/details.aspx?id=44989.

Как правило, установки выполняются удаленно через веб-конференцию илиобщий экран, который предоставляется консультантом AirWatch. Некоторыеклиенты также предоставляют AirWatch учетные данные VPN для прямогодоступа к среде.

Установка Notepad ++(рекомендуется)

VMware AirWatch рекомендует настроить Notepad ++.

Учетные записи службдля проверкиподлинности системподдержки серверов

Проверьте метод соединения AD с использованием инструмента LDP.exe (см.статьюhttp://www.computerperformance.co.uk/ScriptsGuy/ldp.zip) LDAP, BES,PowerShell, и т.д.


VMware Inc. 10

Требования к сетиДля выполнения настройки портов, перечисленных внизу, весь трафик должен бытьоднонаправленным (исходящим) от компонента-источника к компоненту-цели.

Прокси для исходящего трафика либо иное программное либо аппаратное обеспечениеуправления соединением не должно останавливать либо отказывать в приеме исходящегосоединения от Enterprise Systems Connector. Исходящее соединение, необходимое дляиспользования Enterprise Systems Connector, должно оставаться открытым постоянно.

Примечание. Любой ресурс, к которому нужно получить доступ с помощью ACC, например центрсертификации, должен находиться в одном и том же домене.

Таблица 1‑3. Требования порта компонента AirWatch Cloud Connector (SaaS)

Проверка

статусаКомпонент-источник Компонент-цель Протокол Порт Проверка

СерверEnterpriseSystemsConnector

AirWatch AWCM.Например:(https://awcm274.awmdm. com)

HTTPS 443 Проверьте, что нет ошибки довериясертификата, введяhttps://awcmXXX.awmdm.com/awcm/status. Замените XXX той цифрой, которуювы использовали для URL-адресасреды, например,'100' для cn100.


Консоль AirWatch.Например:(https://cn274.awmdm.com)

HTTP илиHTTPS

80 или443

Проверьте, что нет ошибки довериясертификата, введяhttps://cnXXX.awmdm.com. ЗаменитеXXX той цифрой, которую выиспользовали для URL-адреса среды,например,'100' для cn100. Есливключена функция автоматическогообновления, ACC должна запрашиватьконсоль AirWatch об обновлении сприменением порта 443.


AirWatch API.Например:(https://as274.awmdm.com)

HTTPS 443 Проверить, что будут запрашиватьсяучетные данные, введяhttps://asXXX.awmdm.com/api/help.Замените XXX той цифрой, которую выиспользовали для URL-адреса среды,например,'100' для cn100. Длянадлежащего функционированиясервиса диагностики AirWatchнеобходим доступ ACC к API.


CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Чтобы разные службыфункционировали надлежащимобразом.

Необязательные интеграции.


VMware Inc. 11

Таблица 1‑3. Требования порта компонента AirWatch Cloud Connector (SaaS) (продолжение)

Проверка

статусаКомпонент-источник Компонент-цель Протокол Порт Проверка


Внутренний SMTP SMTP 25


Внутренний LDAP LDAP илиLDAPS

389, 636,3268 или3269


Внутренний SCEP HTTP илиHTTPS

80 или443


Внутренний ADCS DCOM 135,1025-5000,49152-65535


Внутренний BES HTTP илиHTTPS

80 или443


Внутренний обменExchange 2010 либовыше

HTTP илиHTTPS

80 или443


VMware Inc. 12

Таблица 1‑4. Требования для порта компонента AirWatch Cloud Connector (на предприятии)

Компонент-источник Компонент-цель Протокол Порт Проверка


AirWatch CloudMessaging Server

HTTPS 2001 Telnet от Enterprise Systems Connector ксерверу AWCM на порт либо приустановке.

Проверьте, введяhttps://<AWCM URL>:

2001/awcm/status, и убедитесь в том,что нет ошибки доверия сертификата.

Если включена функцияавтоматического обновления, ACCдолжна запрашивать консоль AirWatchоб обновлении с применением порта443.

Если вы используете ACC с AWCM, увас множественные серверы AWCM, ивы хотите сбалансировать их нагрузку,вам нужно настроить длительноехранение данных.

Для получения более подробнойинформации по настройкам правилдлительного хранения данных AWCM сприменением F5, см. статью из базызнаний: https://support.air-watch.com/articles/115001666028.


Консоль AirWatch HTTP илиHTTPS

80 или443

Telnet от Enterprise Systems Connector кконсоли на порту либо при установке.

Проверьте, что нет ошибки довериясертификата. введяhttps://<Console URL>.

Если включена функцияавтоматического обновления, ACCдолжна запрашивать консоль AirWatchоб обновлении с применением порта443.


API сервер (если APIустановлен)

HTTPS 443 Проверить, перейдя на URL вашего APIсервера.

Для надлежащего функционированиясервиса диагностики AirWatchнеобходим доступ ACC к API.


CRL: http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP 80 Чтобы разные службыфункционировали надлежащимобразом.

Необязательные интеграции.


Внутренний SMTP SMTP 25


VMware Inc. 13

Таблица 1‑4. Требования для порта компонента AirWatch Cloud Connector (на предприятии)(продолжение)

Компонент-источник Компонент-цель Протокол Порт Проверка


Внутренний LDAP LDAP илиLDAPS

389,636,3268или3269


Внутренний SCEP HTTP илиHTTPS

80 или443


Внутренний ADCS DCOM 135,1025-5000,49152-65535


Внутренний BES HTTP илиHTTPS

80 или443


Внутренний обменExchange 2010 либовыше

HTTP илиHTTPS

80 или443

Таблица 1‑5. Требования к компоненту порта (SaaS или локально) СоединительVMware Identity Manager

Проверкастатуса

Компонент-источник Компонент-цель Порт Протокол Примечания

СоединительVMware Identity Manager

СлужбаVMware IdentityManager

Служебный узелVMware IdentityManager (локальныеустановки)

443 HTTPS Порт поумолчанию. Этотпортнастраивается.


Подсистемабалансировкинагрузки службыVMware IdentityManager (локальныеустановки)

443 HTTPS

Браузеры СоединительVMware Identity Manager

8443 HTTPS Портадминистрирования.

Обязательный


VMware Inc. 14

Таблица 1‑5. Требования к компоненту порта (SaaS или локально) СоединительVMware Identity Manager (продолжение)




80 HTTP Обязательный


443 HTTPS Этот портнеобходим толькодля соединителя,которыйиспользуется врежиме поддержкивходящихсоединений.

Данный порттребуется, если всоединителенастроенапроверкаподлинностиKerberos.


Active Directory 389, 636,3268, 3269

Порт поумолчанию. Этипортынастраиваются.


Сервер DNS 53 TCP/UDP Для каждогоэкземпляра долженбыть настроендоступ к серверуDNS через порт 53и разрешенвходящий SSH-трафик черезпорт 22


Контроллер домена 88, 464, 135,445

TCP/UDP


Система RSA SecurID 5500 Порт поумолчанию. Этотпорт настраивается


Сервер подключенийView

389, 443 Доступ кэкземплярам ViewConnection Serverдля интеграции cHorizon View


VMware Inc. 15

Таблица 1‑5. Требования к компоненту порта (SaaS или локально) СоединительVMware Identity Manager (продолжение)




Integration Broker 80, 443 Доступ к IntegrationBroker дляинтеграции сресурсами,опубликованнымикорпорацией Citrix.

Важно. Если выустанавливаетеIntegration Brokerна том же сервереWindows, что иEnterprise SystemsConnector,необходимоубедиться, чтопривязки сайтоввеб-сайта севераIIS, привязки HTTPи HTTPS неконфликтуют спортами,используемымикомпонентомСоединительVMware Identity Manager.

СоединительVMware Identity Manager всегдаиспользует порт 80.Помимо этого,используется порт443, если другойпорт не настроенво времяустановки.


сервер syslog 514 UDP Для внешнегосервера syslog,если настроено

Компонент Соединитель VMware Identity Manager : IP-адресразмещенной в облаке службы VMware Identity ManagerПользователи SaaS: список IP-адресов службы VMware Identity Manager, к которым службаСоединитель VMware Identity Manager должна иметь доступ, см. в статье базы знаний 2149884.


VMware Inc. 16

https://kb.vmware.com/kb/2149884

Компонент Соединитель VMware Identity Manager : требования к DNS-записям и IP-адресамДля соединителя должна быть доступна DNS-запись и статический IP-адрес. Перед началомустановки запросите DNS-запись и IP-адреса и настройте сетевые параметры сервера Windows.

Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимоопределить на сервере DNS запись PTR. Это позволит соединителю использовать правильныенастройки сети.

Вы можете использовать следующий образец списка DNS-записей. Замените эти образцысведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес дляперенаправления.

Таблица 1‑6. Пример DNS-записи и IP-адреса для перенаправления

Доменное имя Тип ресурса IP-адрес

myidentitymanager.company.com A 10.28.128.3

В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.

Таблица 1‑7. Пример DNS-записи и IP-адреса для обратного перенаправления

IP-адрес Тип ресурса Имя узла

10.28.128.3 PTR myidentitymanager.company.com

После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, спомощью команды виртуального устройства host IPaddress можно выполнить поиск имени всистеме DNS.

Примечание. При наличии подсистемы балансировки нагрузки с виртуальным IP-адресом (VIP)перед DNS-серверами следует учитывать, что VMware Identity Manager не поддерживаетиспользование VIP. При необходимости можно указать несколько DNS-серверов через запятую.

Примечание. Если используется сервер DNS на базе ОС Linux или Unix и планируетсяподключение соединителя к домену Active Directory, для каждого контроллера доменаActive Directory необходимо создать соответствующие записи расположения службы (SRV).

Компонент Соединитель VMware Identity Manager : поддерживаемыеверсии Active DirectoryПоддерживается среда Active Directory, которая состоит из одного домена Active Directory,нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесахActive Directory.


VMware Inc. 17

VMware Identity Manager поддерживает Active Directory на сервере Windows Server 2008, 2008 R2,2012 и 2012 R2. На функциональном уровне домена и леса поддерживается Windows 2003 и болееновые версии этой ОС.

Примечание. Для некоторых компонентов может потребоваться более высокий функциональныйуровень. Например, чтобы разрешить пользователям изменять пароли Active Directory изWorkspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008или более поздние версии.


VMware Inc. 18

Обзор архитектурыEnterprise Systems Connector 2В соединителе Enterprise Systems Connector находятся две службы Windows, которые можноустановить на физический или виртуальный сервер под управлением Windows 2008 R2, 2012, 2012R2 или 2016. Этот компонент работает во внутренней сети и может быть настроен за любымисуществующими брандмауэрами веб-приложений или подсистемами балансировки нагрузки.

При инициализации безопасного подключения HTTPS от Enterprise Systems Connector к службамобмена сообщениями, встроенным в AirWatch, и VMware Identity Manager,Enterprise Systems Connector может периодически передавать информацию из внутреннихресурсов, таких как AD, LDAP и т. д., на продукт без изменения параметров брандмауэра. Еслипланируется передавать трафик через исходящий прокси-сервер, можно использовать настройкина соединителе, которые разрешают использование прокси-сервера.

Поддерживаемые настройкиИспользуйте Enterprise Systems Connector при следующих настройках.

n Использование транспорта HTTPS

n Поддержка трафика HTTP на исходящем прокси-сервере.


n Модель использования SaaS Enterprise Systems Connector

n Модель локального развертывания Enterprise Systems Connector

n Рабочие потоки интеграции сертификатов компонентов ACC

Модель использования SaaS Enterprise Systems ConnectorВ модели использования SaaS компонент Enterprise Systems Connector расположен в вашейвнутренней сети и интегрирован с внутренними системами, что позволяет AirWatch иVMware Identity Manager использовать их для различных функций, таких как службы сертификатови каталогов.

На следующей диаграмме показано полное использование Enterprise Systems Connector, с обоимикомпонентами ACC и Соединитель VMware Identity Manager.

VMware Inc. 19

Рисунок 2‑1. Использование SaaS Enterprise Systems Connector

ACC

Интернет ДМЗ

VMware EnterpriseSystems Connector(s)

КаталогAirWatch

VMware IdentityManager


На данной диаграмме показано развертывание только компонента ACC.

Рисунок 2‑2. Enterprise Systems Connector Развертывание SaaS (только ACC)

AirWatch


ACC

Интернет ДМЗ


Каталог

Модель локального развертыванияEnterprise Systems ConnectorВ локального развертывания компонент Enterprise Systems Connector установлен в вашейвнутренней сети и обменивается данными с AWCM и службой VMware Identity Manager. AWCM какправило установлен на сервере со службами устройства AirWatch.

На следующей диаграмме показан пример использования компонента ACC в типичной локальнойсхеме AirWatch.


VMware Inc. 20

Рисунок 2‑3. Локальное развертывание Enterprise Systems Connector (только ACC)

ACC

Устройство

ДМЗ

СБН

Кластер

AirWatch DS

AirWatch DS443

443


AirWatch DB

Кластер SQL Server

БД VMware Identity Manager

Каталог

Интернет

Кластер




Ниже представлен пример использования компонентов ACC и СоединительVMware Identity Manager в типичной локальной схеме AirWatch.

Рисунок 2‑4. Локальное развертывание Enterprise Systems Connector (ACC и СоединительVMware Identity Manager )

ACC

Устройство

ДМЗ

СБН

Кластер

AirWatch DS

AirWatch DS

Кластер




443

443


AirWatch DB

Кластер SQL Server

БД VMware Identity Manager

Каталог

Интернет



VMware Inc. 21

Рабочие потоки интеграции сертификатов компонентов ACCСертификаты используются для проверки подлинности передачи данных между консолью AirWatchи AirWatch Cloud Connector (ACC).

Создание сертификатовn Включите ACC и затем создайте сертификат для AirWatch и ACC.

n Оба сертификата уникальны для определенной группы, выбранной на консоли AirWatch, иразмещены на сервере AirWatch.

n Оба сертификата созданы с доверенного корня AirWatch.

n Установите ACC. Сертификат ACC, который создается AirWatch, автоматически подключается иустанавливается с ACC.

Как данные маршрутизируются в локальных средах.n AirWatch отправляет запрос на AWCM. Запросы зашифрованы SSL с использованием HTTPS.

n ACC отправляет поисковый запрос на AWCM для запроса AirWatch. Запросы зашифрованыSSL с использованием HTTPS.

n Все данные отправляются через AWCM.

Конфигурация ACC доверяет только сообщениям, подписанным средой AirWatch. Довериеуникально для каждой группы.

Любые дополнительные сервера ACC, настроенные в той же группе AirWatch как частьвысокодоступной (HA) конфигурации, получают такие же уникальные сертификаты ACC. Дляполучения более подробной информации по высокой доступности смотрите руководство порекомендованной архитектуре VMware AirWatch, которое вы можете найти в разделе AirWatchResources.

Каким образом защищены данные в среде предприятияСервер AirWatch отправляет каждый запрос в виде зашифрованного и подписанного сообщения наAWCM.

n Запросы зашифрованы с использованием уникального общедоступного ключа экземпляраACC. Запросы могут шифроваться только ACC,

n Запросы подписываются с использованием закрытого ключа экземпляра сервера AirWatch,который является уникальным для каждой группы. Таким образом, ACC доверяет запросамтолько с настроенного сервера AirWatch.

n Ответы с ACC на сервер AirWatch отправляются в зашифрованном виде, шифровкавыполняется с помощью того же ключа, что и запрос, и подписывается закрытым ключом ACC.


VMware Inc. 22

Процесс установкиEnterprise Systems Connector 3Требуется выполнить некоторые задачи, чтобы настроить и установитьEnterprise Systems Connector в вашу внутреннюю сеть.

Процедура

1. Определение компонентов для настройки- Определите, следует ли устанавливать толькокомпонент ACC или оба ACC и Соединитель VMware Identity Manager.

2. (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM- Длялокальных клиентов необходимо установить сертификат безопасного канала для обеспечениябезопасности между AWCM и следующими компонентами: консоли AirWatch, службамиустройств, API и портал самообслуживания.

3. Установка связи с AWCM - SaaS и локальные клиенты должны установить связь с AWCM.Выполнение этой операции позволит настроить образец AirWatch для использованияопределенного сервера AWCM.

4. Получение установщика VMware Enterprise Systems Connector- Загрузить установщикEnterprise Systems Connector можно со страницы Cloud Connector на консоли AirWatch, какописано в разделе Включение Enterprise Systems Connector с консоли AirWatch. Установщиктакже доступен в составе мастера начальной настройки Workspace ONE.

5. Включение Enterprise Systems Connector с консоли AirWatch- Перед установкой компонентаEnterprise Systems Connector необходимо сначала включить его, создать сертификаты, а затемвыбрать интегрированные службы и службы AirWatch. После завершения этого действияможно установить Enterprise Systems Connector.

6. Запуск установщика Enterprise Systems Connector- Запустите установщикEnterprise Systems Connector на своем настроенном сервере, который отвечает всемнеобходимым предварительным требованиям.

7. Проверка установки Enterprise Systems Connector- После установкиEnterprise Systems Connector с помощью консоли AirWatch можно проверить, успешно ливыполнена эта установка.


n Определение компонентов для настройки

n (Только для локальных клиентов) Установка сертификата безопасного канала на AWCM

VMware Inc. 23

n Установка связи с AWCM

n Получение установщика VMware Enterprise Systems Connector

n Включение Enterprise Systems Connector с консоли AirWatch

n Запуск установщика Enterprise Systems Connector

n Проверка установки Enterprise Systems Connector

Определение компонентов для настройкиПеред началом процесса установки решите, будет ли устанавливаться только компонент ACC,только компонент Соединитель VMware Identity Manager или компоненты ACC и СоединительVMware Identity Manager вместе, в соответствии с потребностями вашего бизнеса.

Для большинства клиентов Workspace ONE рекомендуется установка обоих компонентовEnterprise Systems Connector. В добавок к характеристикам ACC, при полной установке будетполная поддержка следующих характеристик.

n Виртуальные приложения и рабочие столы в Workspace ONE.

n Безопасная проверка подлинности сертификатов RSA

n Встроенная проверка подлинности Windows

n Множественный надежный либо ненадежный каталог Active Directory с VMware Identity Manager

n VMware Identity Manager с множественными настройками группы организации каталога вAirWatch

n Платформа для идентификационно-центричных интеграционных характеристик.

Если вы уже использовали Workspace ONE только с ACC, эта модель и будет поддерживатьсядалее, но если вы планируете пользоваться одной изданных опций, рекомендуется установитьполную версию Enterprise Systems Connector. Миграция только с ACC на СоединительVMware Identity Manager доступна только в том случае, если поддерживаетсяEnterprise Systems Connector. См. раздел Глава 6 Миграция каталога из ACC в СоединительVMware Identity Manager.


VMware Inc. 24

(Только для локальных клиентов) Установка сертификатабезопасного канала на AWCMЛокальным клиентам необходимо установить сертификат безопасного канала, чтобы обеспечитьбезопасность между AWCM и следующими компонентами: консолью AirWatch, службой устройств,API и портал самообслуживания.

Важно. Выполните следующие действия на сервере, на котором запущен AWCM. Не загружайтепрограмму установки на другой компьютер, а скопируйте ее на сервер AWCM. Если загрузка неудалась на сервере, на котором запущен AWCM, обратитесь в службу поддержки AirWatch завозможными решениями.

Примечание. Если внесены какие-либо изменения в сертификат безопасного канала вхранилище ключей AWCM после загрузки и установки AirWatch Tunnel илиEnterprise Systems Connector, вам необходимо удалить этот сертификат, потом удалить все папки,повторно загрузить и переустановить сертификат.

Процедура

1. Перейдите в меню Группы и настройки> Все настройки> Система> Дополнительно>Сертификат безопасного канала.

2. Выберите Загрузить установщик AWCM Secure Channe в разделе «Облачные сообщенияAirWatch», чтобы начать сценарий установки сертификата безопасного канала.

Установщик безопасного канала для Linux используется только для облачной службыуведомлений. AWCM поддерживается только на серверах Windows.

3. Скопируйте сценарий установки сертификата безопасного канала на локальный серверAWCM и щелкните правой кнопкой мыши, чтобы запустить его от имени администратора длявыполнения и установки.

4. Введите или нажмите Обзор, чтобы найти путь Truststore, и выберите OK.

5. Нажмите OK, когда появится диалоговое окно «Сообщение», информирующее о том, чтосертификат был добавлен в хранилище ключей.

6. Выполните действия для установки связи с AWCM.

7. Выполните действия для установки Enterprise Systems Connector

Установка связи с AWCMSaaS и локальные клиенты должны установить связь с AWCM. Выполнение этой операциипозволит настроить образец AirWatch для использования определенного сервера AWCM.


VMware Inc. 25

Процедура

1. Перейдите на «Группы и настройки» > «Все настройки» > «Система» > «Дополнительно» >«URL-адреса сайтов» для того, чтобы просмотреть раздел сообщений AirWatch.

Примечание. Если вы являетесь заказчиком SaaS и не видите данной страницы в настройкахсистемы, то настройки уже были выполнены.

2. Выполните следующие настройки.

Параметр Описание

Включить серверAirWatch

Установите этот флажок, чтобы разрешить соединение между консолью AirWatch исервером AWCM.

Внешний URL-адрессервера AirWatch

Это поле позволяет ввести имя сервера, используемое внешними компонентами иустройствами (например, ACC), чтобы безопасно (используя HTTPS) устанавливать связь сAWCM. Пример URL-адреса ACC: Acme.com.

Не добавляйте https://, поскольку это предполагается приложением и добавляетсяавтоматически.

Внешний портAirWatch

Это порт, который используется сервером, указанным выше, для связи с AWCM.

Для безопасной внешней связи используйте порт 443. Если вы используете обходразгрузки SSL, тогда вам нужно использовать внутренний незащищенный порт связи,который по умолчанию прописан как 2001, но может быть изменен на другие номерапортов.

Внутренний URL-адрес сервера AWCM

Этот URL-адрес позволяет вам достичь AWCM, используя внутренние компоненты иустройства (например, консоль администрирования, службы устройств и т. д.). ПримерыURL-адресов AirWatch: https://Acme.com:2001/awcm или http://AcmeInternal.Local/awcm.

Если ваш сервер AWCM и AirWatch Console являются внутренними (находятся в пределаходной сети), и требуется обойти разгруженный протокол SSL, то безопасное соединение нетребуется и вы можете использовать http вместо https. Например, http://AcmeInternal.Local:2001/awcm. На этом примере показано, что сервер находится во внутренней сети ивзаимодействует с портом 2001.

Получение установщикаVMware Enterprise Systems ConnectorПолучить установщик VMware Enterprise Systems Connector можно во многих местах.

n На странице «Группы и настройки» > «Все настройки» > «Система» > «Интеграцияпредприятий» > «Соединитель для корпоративной системы VMware» в консоли AirWatch, какописано в разделеВключение Enterprise Systems Connector с консоли AirWatch

n В рамках мастера по начальной настройке Workspace ONE в консоли AirWatch. Для полученияинформации по использованию мастера начальной настройки Workspace ONE см. вруководстве по быстрой настройке VMware Workspace ONE.

n Компонент VMware Identity Manager также доступен на странице загрузки продукта VMwareIdentity Manager на портале My VMware.


VMware Inc. 26

Включение Enterprise Systems Connector с консолиAirWatchПеред установкой компонента Enterprise Systems Connector сначала его необходимо включить,создать сертификаты, выбрать корпоративные службы и службы AirWatch, которые необходимоинтегрировать. После завершения этого действия можно установить Enterprise Systems Connector.

Примечание. На сервере, на котором будет запущен Enterprise Systems Connector, выполнитеследующие шаги. Не загружайте установщик на другой компьютер и не копируйте его насерверEnterprise Systems Connector.

Процедура

1. Последовательно щелкните «Группы и параметры» > «Все настройки» > «Система» >«Интеграция предприятия» > VMware Enterprise Systems Connector.

2. Выполните конфигурацию следующих параметров на вкладке Общие.


Включить VMware Enterprise SystemsConnector

Установите флажок, чтобы включить Enterprise Systems Connector иотобразить вкладку «Общие».

Включить автоматическоеобновление

Выберите включить автоматическое обновлениеEnterprise Systems Connector при наличии более новой версии. Дляполучения более подробной информации по автоматическому обновлениюсм. в разделе Параметр автоматического обновления VMware EnterpriseSystems Connector .

3. Настройте следующие параметры на вкладке Дополнительно.


Создайте сертификаты Нажмите эту кнопку, чтобы создать сертификат дляEnterprise Systems Connector и сервера AirWatch. Сертификаты создаютсядля обоих вариантов и отображаются как сертификатыVMware Enterprise Systems Connector и сертификаты AirWatch.

Как только сертификаты созданы, кнопка сменится на Восстановить.Дополнительные сведения о восстановлении сертификатов см. в разделе Восстановление сертификатов.

Обмен данными с AWCM Выберите, каким образом будут передаваться данные междуEnterprise Systems Connector и AWCM в рамках передачи данных на AWCM.n Использовать внешний URL-адрес AWCM . Это параметр по

умолчанию, который будет применяться к большинству развертываний.n Использовать внутренний URL-адрес AWCM . Используйте этот

параметр, если ваши настройки безопасности ограничивают ваш серверEnterprise Systems Connector в переходе на внешний URL-адрес AWCM.Например, если Enterprise Systems Connector находится на внутреннейсети, а ваш сервер расположен AWCM в DMZ.


VMware Inc. 27


Корпоративные службы Выберите Включено или Выключено для того, чтобы включить либовыключить корпоративные службы. Выбранные (включенные) службы будутинтегрированы с Enterprise Systems Connector.n BES (синхронизированные пользователь BlackBerry и данные о

мобильного устройства)n Службы каталогов (LDAP/AD)n Обмен PowerShell (для определенных безопасных шлюзов для обмена

электронными сообщениями)n SMTP (передача электронных сообщений)

AirWatch SaaS предлагает передачу электронных сообщения пособственному протоколу SMTP, но вы также можете включить дляиспользования другой Enterprise Systems Connector SMTP сервер.Укажите настройки сервера SMTP для электронной почты в менюГруппы и настройки > Все настройки > Система > Интеграцияпредприятия > Электронная почта (SMTP).

n Syslog (Протокол клиент/сервер, используется для интеграции данныхрегистрации события AirWatch)

Следующие компоненты доступны только в том случае, если вы приобрелидополнительный модуль PKI Integration, который доступен отдельно.n Службы сертификации Microsoft(PKI)n Протокол простой регистрации сертификатов (SCEP PKI)n OpenTrust CMS Mobile (сторонние службы сертификатов)n Entrust PKI (сторонние службы сертификатов)n Symantec MPKI (сторонние службы сертификатов)

Поскольку нет необходимости в прохождении черезEnterprise Systems Connector для облачных служб сертификации, есливы хотите выполнить интеграцию со службами сертификата (какSymantec MPKI), выберите одну из опций на экране внизу, службакоторую вы выбираете, должна быть на предприятии, а не в облаке(SaaS).

Службы AirWatch Выберите Включено или Выключено для того, чтобы включить либовыключить службы AirWatch. Компоненты AirWatch, которые вы выбрали(отключили), будут интегрированы с Enterprise Systems Connector. AirWatchрекомендует оставить все службы включенными.n Службы устройства (Консоль администратора и все службы,

необходимые для его работы, включая связанные службы Windows)n Управление устройством (регистрация, каталог приложений, связанные

службы Windows)n Портал самообслуживания (включая связанные службы Windows)n Все другие компоненты (включая связанные службы Windows)

Примечание. (Локальные клиенты) Если вы еще не выполнилиВключение AWCM для передачи данных на VMware Enterprise SystemsConnector, вы можете выбрать Загрузить установщик AWCM SecureChannel для перехода на страницу загрузки.

Примечание. (Клиенты SaaS) Вам не нужно загружать установщиксертификата безопасности канала.

4. Выберите Сохранить для того, чтобы сохранить все настройки.


VMware Inc. 28

5. Вернитесь на вкладку «Общие» и выберите параметр Загрузить установщик VMwareEnterprise Systems Connector.

Будет отображена страница загрузки программы установки Cloud Connector.

6. В полях введите пароль для сертификата Enterprise Systems Connector. Данный парольпригодится позже, когда вы запустите Enterprise Systems Connector установщик и введетепароль для сертификата.

7. Выберите Загрузить и сохраните файл с расширением .exe на сервереEnterprise Systems Connector для дальнейшего его использования.

Запуск установщика Enterprise Systems ConnectorЗапустите установщик Enterprise Systems Connector на сервере Windows, который отвечает всемтребованиям.

В установщик входят AirWatch Cloud Connector и компоненты СоединительVMware Identity Manager. Вы можете установить один либо оба компонента. После первичнойустановки вы сможете снова запустить установщик, чтобы изменить любые характеристики либообновить установку.

Необходимые условия

Для установки компонента AirWatch Cloud Connector (ACC) необходимо соответствие следующимпредварительным условиям.

n Перед тем как начать процесс, локальный клиент должен убедиться в том, что сервер, накотором будет выполняться установкаEnterprise Systems Connector, может достичь AWCM. Дляэтого в браузере перейдите по адресу https://{url}:порт/awcm/status, где {url} — это URL-адрес среды AirWatch, а порт — это внешний порт, который вы настроили для коммуникацииAWCM. Состояние AWCM должно отображаться без ошибок SSL. Если есть ошибки, устранитеих перед тем, как продолжить, иначе ACC не будет функционировать надлежащим образом.

n Клиенты SaaS должны убедиться в том, что сервер, на котором выполняется установкаEnterprise Systems Connector, может достичь AWCM. Для этого в браузере перейдите по адресуhttps://awcmXXX.awmdm.com/awcm/status. Замените XXX числом, которое используется в URL-адресе среды, например '100' для cn100. Состояние AWCM должно отображаться без ошибокSSL. Если ошибки есть, перед тем, как продолжить, необходимо их устранить, иначе ACC небудет функционировать надлежащим образом.

Для компонента Соединитель VMware Identity Manager должны выполняться следующиепредварительные условия.

n Порты 80 и 8443 должны быть доступны на сервере Windows. Если данные портыиспользуются другими службами, вы не сможете установить компонент СоединительVMware Identity Manager.


VMware Inc. 29

n В указанных ниже случаях Windows Server должен быть присоединен к домену и компонентСоединитель VMware Identity Manager должен устанавливаться от имени пользователя домена,который входит в группу администраторов Windows Server.

n Если планируется подключение к Active Directory (встроенная проверка подлинностиWindows)

n Если вы планируете использовать проверку подлинности Kerberos

n Если планируется интеграция Horizon View с VMware Identity Manager и требуетсявоспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройкасервера подключений 5.x»

В таких случаях пользователю домена во время установки необходимо запустить службу IDMConnector.

n Для того, чтобы установщик мог искать и проверять домены и пользователей во времяпроцесса установки, должны соблюдаться следующие условия.

n Целевая система должна быть соединена с доменом.

n Служба браузера компьютеров должна быть включена и запущена.

n Брандмауэр должен быть настроен с исключением для службы браузера компьютеров.

n На целевой системе должен быть включен NetBIOS по TCP/IP.

n В сети должна быть настроена система главного браузера.

n В сети должен быть включен параметр широковещательного трафика.

n В пути к каталогу, в котором устанавливается VMware Identity Manager Connector, не должнобыть пробелов, или установка завершится ошибкой. Например, при установке в каталогC:\Program Files происходит сбой, а при установке в каталог C:\VMware — нет.

Процедура

1. Щелкните установщик дважды.

2. На экране приветствия нажмите кнопку Продолжить.

Установщик проверит наличие предварительных условий на сервере. Если не установленаплатформа .NET Framework, появится запрос о ее установке и перезапуске сервера. Послеперезапуска снова запустите установщик Enterprise Systems Connector для того, чтобывозобновить процесс установки.

Если установлена предыдущая версия, установщик определит это автоматически и предложитобновить ее до последней версии. Для получения более подробной информации обобновлении ACC см. раздел Обновления ACC. Дополнительные сведения об обновлениисоединителя VMware Identity Manager см. в разделе Обновление VMware Identity ManagerConnector.

3. Примите условия лицензионного соглашения, затем нажмите кнопку Далее.


VMware Inc. 30

4. На странице «Индивидуальные настройки» выберите компоненты для установки.

По умолчанию выбраны как AirWatch Cloud Connector, так и СоединительVMware Identity Manager. Чтобы отменить выбор компонента, нажмите стрелку расширения ивыберите параметр Данная характеристика будет недоступна.

Для получения более подробной информации о компонентах см. раздел Определениекомпонентов для настройки.

5. Выберите Изменить... для изменения каталога установки, если это необходимо, затем

нажмите кнопку Продолжить.

Примечание. В пути к каталогу установки не должно быть пробелов, иначе установказавершится ошибкой. Например, при установке в каталог C:\Program Files происходит сбой,а при установке в каталог C:\VMware — нет.

Для Соединитель VMware Identity Manager компонента требуется среда выполнения Java(JRE™). Если в Windows Server не установлена среда JRE, либо установлена версия, котораястарше той, которая предусмотрена установщиком, то вам будет предложено выполнить ееустановку. Обратите внимание, что все существующие версии JRE при установке необходимойверсии не удаляются.

6. Проверьте целевую папку, затем нажмите Продолжить.

7. Введите пароль сертификата ACC, который вы задали на странице «Настройки системы» вAirWatch, затем нажмите Продолжить.


VMware Inc. 31

8. Если вы планируете направить трафик ACC через исходящий прокси-сервер, установите

флажок и введите информацию о прокси-сервере.

При необходимости введите имя пользователя и пароль.

Примечание. Настройки на данной странице действительны только для ACC. Информация опрокси-сервере для Соединитель VMware Identity Manager вводится отдельно позже.

9. Нажмите кнопку Далее.


VMware Inc. 32

10. (Только для Соединитель VMware Identity Manager) На странице конфигураций IDM Connectorвведите следующую информацию, затем нажмите кнопку Продолжить.


Порт для IDM Connector Введите номер порта, если вы хотите запустить СоединительVMware Identity Manager на порту, отличном от 443.

Хотите ли вы воспользоватьсясобственным сертификатом SSL?

По умолчанию самозаверяющий сертификат создается для СоединительVMware Identity Manager во время процесса установки. Самозаверяющийсертификат можно установить позже. Для этого нужно войти в системуадминистрирования соединителя по адресу https://vidmConnectorHostname:8443/cfg/login и перейти на страницу «Установить сертификат».

Если у вас уже есть сертификат и вы хотите его установить, поставьтефлажок, затем выберите сертификат и введите пароль для сертификата. Уфайлов сертификатов должен быть формат PFX.

Вы используете прокси-серверHTTPS?

При необходимости выберите конфигурацию прокси-сервера HTTPS дляисходящего трафика.

Прокси-сервер HTTPS : URL-адрес прокси-сервера.

Порт прокси-сервера: порт прокси-сервера HTTPS.

Узлы без прокси: узлы, к которым Соединитель VMware Identity Managerможет получать доступ без прохождения через прокси-сервер. Например,локальный узел или узлы на одной подсети.


VMware Inc. 33

11. (Только для Соединитель VMware Identity Manager) На странице VMware IDM ConnectorActivation выберите, требуется ли активировать соединитель сейчас.


Код активации Если служба VMware Identity Manager настроена в организационной группеAirWatch, с которой загружен установщик, то поле с кодом активации будетзаполняться автоматически.

Если данное поле не заполняется автоматически, сгенерируйте кодактивации в консоли управления VMware Identity Manager, затем скопируйтеи вставьте его в указанное поле. Дополнительные сведения см. в разделе Создание кода активации для Соединитель VMware Identity Manager.

Пароль администратора Создайте пароль для страниц администратора соединителя. На этихстраницах можно собирать пакеты файлов журналов и выгружатьсертификаты.

Подтвердите пароль Введите пароль повторно. Если вы не выполните активацию Соединитель VMware Identity Manager сейчас, вы можетевыполнить активацию позже по ссылке https://vidmConnectorHostname:8443. Например,https://myconnector.example.com:8443.


13. (Только для Соединитель VMware Identity Manager) Установите флажок на странице учетнойзаписи службы IDM Connector, если требуется запусткать службу IDM Connector от именипользователя домена Windows.

Вы должны запустить устройство в качестве пользователя домена только в следующихслучаях:

n Если вы планируете подключиться к Active Directory (встроенная проверка подлинностиWindows)



VMware Inc. 34

n Если вы планируете интеграцию Horizon View с VMware Identity Manager и хотитевоспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройкасервера подключений 5.x»

Примечание. Чтобы выбрать параметры на данной странице, требуется запуститьустановщик от имени пользователя домена, входящего в состав группы администраторовWindows Server.

Примечание. Если после нажатия кнопки Обзор невозможно найти домены илипользователей, проверьте, выполнены ли все предварительные условия.


15. Нажмите кнопку Установить, чтобы начать установку.

Установщик отобразит флажок для выбора автоматического обновления ACC. Для полученияболее подробной информации по опции автоматического обновления см. раздел ПараметрыАвтоматическое обновление ACC.

16. Нажмите кнопкуГотово.

Проверка установки Enterprise Systems ConnectorПосле установки Enterprise Systems Connector вы можете проверить, успешно ли выполненаустановка, с помощью консоли AirWatch.

Примечание. Параметр «Протестировать соединение» подходит только для компонента ACCEnterprise Systems Connector. Он не подходит для компонента СоединительVMware Identity Manager.


VMware Inc. 35

Процедура

1. Перейдите на Группы и настройки > Все настройки > Система > Интеграция предприятия> Cloud Connector.

2. Выберите параметр Протестировать соединение, расположенный внизу экрана, отобразитсяследующее сообщение.

3. При миграции определите, какие характеристики являются новыми, и протестируйте их новые

функциональные возможности, чтобы определить, выполнена ли миграция успешно.

Следующие шаги

Теперь после успешной установки Enterprise Systems Connector вы можете использовать его дляинтеграции с инфраструктурой службы вашего каталога.


VMware Inc. 36

Управление ACC 4В данном разделе содержится информация по обновлениям компонента ACC и восстановлениюсертификатов.


n Обновления ACC

n Выполнение обновления ACC вручную

n Восстановление сертификатов

Обновления ACCОбновите AirWatch Cloud Connector (ACC) с консоли AirWatch для того, чтобы получить всепреимущества от последнего устранения сбоев системы и ее усовершенствований. Данныйпроцесс может быть автоматизирован с помощью параметра автоматического обновления ACCили выполнен вручную в ситуациях, когда приоритетным является осуществление управленияадминистратором.

Примечание. Для получения дополнительных сведений об обновлении компонента СоединительVMware Identity Manager см. Обновление VMware Identity Manager Connector.

Автоматическое обновление ACCПри установке ACC по умолчанию устанавливается флажок автоматического обновления.Благодаря параметру автоматического обновления ACC автоматически обновляется до последнейверсии без вмешательства пользователя посредством отправки AirWatch запроса о наличии болееновых версий ACC. AirWatch рекомендует разрешить автоматическое обновление (не снимайтефлажок), но позволяет отключить его для тех сред и ситуаций, когда предпочтение отдаетсяручному обновлению.

Примечание. Параметр автоматического обновления применяется только для ACC-компонентаEnterprise Systems Connector. Он не применяется для компонента СоединительVMware Identity Manager.

VMware Inc. 37

Преимущества автоматического обновленияn Нет необходимости вручную определять, требуется ли обновление, а затем искать последнюю

версию ACC — это сделает программа.

n Пользователь может быть уверен в том, что имеет доступ к самым новым функциям,улучшениям и исправлениям.

n Но самое главное — это наличие последней версии системы безопасности.

Процесс обновленияАвтоматическое обновление ACC выполняется с помощью папок Bank1 и Bank2 в папке CloudConnector. AirWatch определяет, какая из этих папок пуста, и направляет туда соответствующиефайлы ACC, а также удаляет содержимое другой папки. При последующем обновлении AirWatchповторяет процесс, меняя папки. Данный процесс повторяется каждый раз при автоматическомобновлении до новой версии. Данный процесс проиллюстрирован на рисунке «Схема процессаобновления».

Важно. Не удаляйте папки Bank1 и Bank2. Папки Bank1 и Bank2 являются неотъемлемой частьюпроцесса автоматического обновления ACC.

Рисунок 4‑1. Схема процесса обновления

Безопасность при автоматическом обновленииАвтоматическое обновление ACC выполняется с учетом безопасности. Каждое обновлениеподписывается AirWatch Console и проверяется ACC, поэтому выполняются только доверенныеобновления. Процесс обновления также виден администратору AirWatch. Когда становитсядоступна новая версия, ACC узнает об этом с помощью запроса к AirWatch Console на порту 443,после чего происходит обновление.

Во время обновления ACC до последней версии программа недоступна, поэтому наблюдаетсякратковременное прекращение обслуживания (то есть, прибл. на протяжении 1 минуты). Еслиустановлено несколько серверов ACC, чтобы гарантировать, что все службы ACC не отключатсяодновременно, в AirWatch используется случайный таймер процесса обновления, поэтомукратковременные перерывы в работе ACC происходят в разное время.


VMware Inc. 38

Если происходит автоматическое обновление ACC, версия в разделе «Установка и удалениепрограмм» не меняется — исходная версия остается в списке. Версия в разделе «Установка иудаление программ» изменяется только при запуске установщика ACC. Лучший способ проверить,прошло ли автоматическое обновление успешно, — это посмотреть в файлах журнала ACC, какаяверсия запущена.

Последствия отключения автоматического обновленияЕсли вы выбрали отключение данной характеристики и ACC не обновляется, ACC остается врабочем состоянии до тех пор, пока не произойдет что-либо из следующего.

n ACC отключится и затем включится (намеренно либо при сбое подачи электричества).

n Потребуется переустановка ACC.

n Консоль AirWatch обновится до последней версии.

n Сертификаты AirWatch, AWCM или ACC будут восстановлены. Когда сертификатывосстановлены, необходимо установить последнюю версию ACC и перезапустить устройство,чтобы признать новые сертификаты.

Выполнение обновления ACC вручнуюAirWatch не рекомендует выполнять ручное обновление ACC, но этот метод доступен в качествеопции, если он более соответствует потребностям вашей среды. Для получения дополнительнойинформации об этой альтернативе см. раздел «Автоматическое обновление ACC».

Процедура

1. Убедитесь, что на консоли AirWatch отключено автоматическое обновление. Это позволитсохранить последние файлы ACC.zip на сервере ACC при обновлении консоли и создатьзаписи в файле журнала ACC с уведомлением о необходимости обновления ACC.

2. Остановите службу AirWatch Cloud Connector.

3. Выполните один из следующих подходов.

а) Первый подход заключается в том, чтобы вручную распаковать файлы ACC.zip в папкуBank, упомянутую в файле журнала. Далее перезапишите существующие файлы в этойпапке или удалите все файлы. При перезапуске службы Cloud Connector версия ACC будетобновлена.

б) Второй подход — использовать любую из папок Bank. В этом случае оставьте файл .configили .config.old доступным в другой папке Bank, чтобы восстановить исходный файл .config всоответствии с настроенными значениями. Распакуйте файлы и перезапустите службуCloud Connector, которая будет работать с обновленной версией.


VMware Inc. 39

Восстановление сертификатовМожет потребоваться восстановление сертификатов, используемых для серверов AirWatch иAirWatch Cloud Connector (ACC), например если они устарели или нужны организации нарегулярной основе. Этот процесс прост и выполняется с консоли AirWatch, но вам не потребуетсяснова загружать и запускать установщик ACC.

Сертификаты содержат отпечаток и срок действия. Оба эти элемента можно очистить ивосстановить одновременно, нажав на кнопку «Восстановить сертификаты» и следуя дальнейшиминструкциям. При восстановлении сертификатов ACC больше не сможет связываться с AirWatch, ивам потребуется выполнить процедуру установки снова, чтобы оба сервера могли распознаватьновые сертификаты.

Процедура

1. Перейдите на Группы и настройки > Все настройки > Система > Интеграция предприятия> Cloud Connector. Оба сертификата, их отпечатки и сроки действия отображаются на вкладке«Дополнительно».

2. Выберите Восстановить сертификаты, чтобы создать новый сертификат для серверов ACC иAirWatch.


VMware Inc. 40

3. При необходимости введите свой PIN-код безопасности, чтобы подтвердить действие иподтвердить, что вы ознакомились с предупреждением. Старые сертификаты удаляются, ановые сертификаты, отпечатки и сроки действия восстанавливаются.

Рисунок 4‑2.

При вводе PIN-кода для подтверждения ACC больше не сможет связываться с сервером AirWatch.Чтобы восстановить связь между ACC и сервером AirWatch, вернитесь к разделу Установка ACC ивыполните все шаги заново. Это позволит обоим серверам распознать последний сертификат ивосстановить связь.


VMware Inc. 41

Настройка и управлениеСоединительVMware Identity Manager 5В данном разделе содержится информация по настройке Соединитель VMware Identity Manager иуправлению настройками администратора. Также здесь содержится информация подополнительным настройкам.

В эту главу входят следующие темы:n Настройка Соединитель VMware Identity Manager

n Управление параметрами администрирования соединителя VMware Identity Manager

n Включение параметров прокси-сервера после установки

n Настройка высокой доступности для Соединитель VMware Identity Manager

n Добавление метода проверки подлинности Kerberos для развертывания СоединительVMware Identity Manager

n Удаление экземпляра Соединитель VMware Identity Manager

n Обновление VMware Identity Manager Connector

Настройка Соединитель VMware Identity ManagerПосле установки компонента Соединитель VMware Identity Manager вам необходимо настроить его.

Настройка Соединитель VMware Identity Manager состоит из следующих шагов.

1. Создание кода активации и активация соединителя, если это еще не сделано во времяустановки.

2. Настройки каталога.

3. Включение адаптеров проверки подлинности на соединителе.

4. Включение режима поддержки только исходящих соединений для соединителя

VMware Inc. 42

Создание кода активации для Соединитель VMware Identity ManagerВойдите на консоль администрирования VMware Identity Manager и сгенерируйте код активациидля Соединитель VMware Identity Manager. Этот код активации используется для установки связимежду арендатором и экземпляром соединителя.

Примечание. Если служба VMware Identity Manager настроена в организационной группеAirWatch, с которой загружен установщик, код активации генерировать не требуется. Еслисоединитель активирован из установщика, код активации будет автоматически вводиться в полеКод активации. Продолжите работу с установщиком.


(Среды SaaS) Имеется URL-адрес арендатора VMware Identity Manager, напримерmycompany.vmwareidentity.com. При получении подтверждения на электронную почту перейдите поURL-адресу своего арендатора и войдите в систему , используя полученные учетные данныелокального администратора. Этот администратор является локальным пользователем.

Процедура

1. Войдите в консоль администрирования.

2. (Среды SaaS) Щелкните Принять, чтобы принять условия использования.

3. Откройте вкладку Управление учетными данными и доступом.

4. Щелкните Настройка.

5. На странице «Соединители» щелкните Добавление соединителей.

6. Введите имя для элемента «соединитель».

7. Щелкните Создать код активации.

На странице отобразится код активации.


VMware Inc. 43

8. Скопируйте код активации и сохраните его.


Если вы активируете компонент соединителя VMware Identity Manager во время работыустановщика Enterprise Systems Connector, скопируйте код активации на страницу активациисоединителя VMware IDM в установщике.

Если вы активируете компонент соединителя VMware Identity Manager после установки, см. раздел Активация Соединитель VMware Identity Manager.

Активация Соединитель VMware Identity ManagerЕсли вы не активировали Соединитель VMware Identity Manager в установщикеEnterprise Systems Connector во время установки, вы можете выполнить активацию позже, перейдяпо URL-адресу https://vidmConnectorHostname:8443.


У вас будет код активации для соединителя.

Процедура

1. Перейдите по URL-адресу https://vidmConnectorHostname:8443.

Укажите vidmConnectorHostname в качестве полного названия домена. Например,https://myconnector.example.com:8443.


VMware Inc. 44

2. На странице приветствия нажмите кнопку Продолжить.

3. На странице «Задать пароли» создайте пароль для страниц администрирования соединителя,затем щелкните Продолжить.

Вы можете осуществлять доступ к данным страницам для того, чтобы собирать пакеты файловрегистрации и выгружать сертификаты.

4. На странице «Активировать соединитель» введите код активации и щелкните Продолжить.

После успешной активации соединителя на странице появится сообщение «Настройказавершена».

Настройка каталогаПосле настройки и активации Соединитель VMware Identity Manager настройте каталог в консолиадминистрирования VMware Identity Manager и установите соединение с корпоративным каталогомдля синхронизации пользователей и групп со службой.

VMware Identity Manager поддерживает интеграцию с каталогами следующих типов.

n Active Directory с протоколом LDAP

n Active Directory (служба проверки подлинности, встроенная в Windows)

n Каталог LDAP

Перед настройкой каталога для получения более подробной информации смотри руководствоИнтеграция каталога с VMware Identity Manager. Здесь перечислены задачи для высокого уровня.


Предварительные требования зависят от типа каталога, с которым выполняется интеграция. Дляполучения подробной информации см.руководство Интеграция каталога сVMware Identity Manager.

Процедура

1. Войдите в консоль администрирования VMware Identity Manager.

Подсказка. Вы также можете войти в консоль администрирования, нажав ссылку Войти вконсоль администрирования, после активации соединителя появится страница «Настройказавершена».


VMware Inc. 45

2. Для синхронизации каталога выберите атрибуты пользователя.

а) Откройте вкладку Управление учетными данными и доступом и щелкните Настройка.

б) Во вкладке Атрибуты пользователя выберите, какие атрибуты необходимы. Принеобходимости добавьте дополнительные атрибуты.

Если отметить атрибут в качестве обязательного, только пользователи с этим атрибутомбудут синхронизироваться со службой.

Важно. Учтите следующие ограничения.

n После создания каталога вы не можете изменить атрибут с необязательного наобязательный. Такие атрибуты необходимо выбрать сейчас.

n Параметры на странице «Атрибуты пользователя» применяются ко всем каталогамслужбы. Прежде чем отметить атрибут в качестве обязательного, оцените его влияниена другие каталоги.

3. Щелкните Добавить каталог и выберите тип каталога, который необходимо добавить.

4. Следуйте указаниям мастера, чтобы ввести сведения о настройке каталогов, выберите группыи пользователей для синхронизации и синхронизируйте их со службой VMware Identity Manager.

Для получения более подробной информации см. раздел "Конфигурация соединения ActiveDirectory со службой" на интеграции каталога с VMware Identity Manager.


Откройте вкладку Пользователи и группы и проверьте, чтобы пользователи былисинхронизированы.

Включение адаптеров проверки подлинности в СоединительVMware Identity ManagerВ режиме поддержки только исходящих соединений для Соединитель VMware Identity Managerдоступно несколько адаптеров проверки подлинности, в том числе PasswordIdpAdapter,RSAAIdpAdapter, SecurIDAdapter и RadiusAuthAdapter. Настройте и включите адаптеры, которыенеобходимо использовать.

При создании каталога метод проверки подлинности с помощью пароля был активированавтоматически. PasswordIdpAdapter был настроен в соответствии с информацией, которую выпредоставили в каталоге.

Процедура

1. В консоли администрирования VMware Identity Manager выберите вкладку Управлениеучетными данными и доступом.

2. Щелкните Настройка, а затем выберите вкладку Соединители.

Отобразится список развернутых соединителей.


VMware Inc. 46

3. Щелкните ссылку в столбце Сотрудник.

4. Перейдите на вкладку Модули авторизации.

Здесь перечислены все доступные адаптеры проверки подлинности соединителя.

Если каталог уже настроен, адаптер PasswordIdpAdapter также уже настроен и включен сиспользованием сведений о конфигурации, указанных при создании каталога.

5. Настройте и включите адаптеры проверки подлинности, которые необходимо использовать.Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации.Необходимо включить по крайней мере один адаптер проверки подлинности.

Сведения о настройке определенных адаптеров проверки подлинности см. в руководстве поадминистрированию VMware Identity Manager.

Пример:


VMware Inc. 47

Включение режима поддержки только исходящих соединений дляСоединитель VMware Identity ManagerЧтобы включить режим поддержки только исходящих соединений для СоединительVMware Identity Manager, свяжите его со встроенным поставщиком удостоверений.


VMware Inc. 48

Встроенный поставщик удостоверений доступен в VMware Identity Manager по умолчанию ипредоставляет дополнительные встроенные методы проверки подлинности, в том числеVMware Verify. Сведения о встроенном поставщике удостоверений см. в руководстве поадминистрированию VMware Identity Manager.

Примечание. Соединитель можно одновременно использовать как в режиме поддержки толькоисходящих соединений, так и в обычном режиме. Даже при работе в режиме поддержки толькоисходящих соединений можно настроить проверку подлинности Kerberos для внутреннихпользователей с помощью методов и политик проверки подлинности

Процедура

1. В консоли администрирования на вкладке Управление учетными данными и доступомвыберите Управление.

2. Перейдите на вкладку Поставщики удостоверений.

3. Щелкните ссылку Встроенный.

4. Введите следующие данные.


Пользователи Выберите каталог или домены, для которых будет использоватьсявстроенный поставщик удостоверений.

Сеть Выберите сетевые диапазоны, для которых будет использоватьсявстроенный поставщик удостоверений.

Соединители Выберите настраиваемый соединитель.

Примечание. Позже, после добавления дополнительных соединителей дляобеспечения высокой доступности, можно будет выбрать и добавить их все вэтом разделе, чтобы затем связать их со встроенным поставщикомудостоверений. VMware Identity Manager автоматически распределяеттрафик среди всех соединителей, связанных со встроенным поставщикомудостоверений. Подсистема балансировки нагрузки не требуется.

Методы проверки подлинностиConnector

Здесь перечисляются методы развертывания, включенные для соединителя.Выберите нужные методы проверки подлинности.

Адаптер PasswordIdpAdapter, который был автоматически настроен ивключен при создании каталога, отображается на этой странице в видеэлемента Пароль (облачная среда). Это означает, что он используется ссоединителем в режиме поддержки только исходящих соединений.

Пример:


VMware Inc. 49

5. Щелкните Сохранить, чтобы сохранить конфигурацию встроенного поставщикаудостоверений.

6. Измените политики, чтобы использовать включенные методы проверки подлинности.

а) На вкладке Управление учетными данными и доступом щелкните Управление.

б) Перейдите на вкладку Политики и выберите политику, которую нужно изменить.


VMware Inc. 50

в) В разделе Правила политики щелкните ссылку в столбце Метод проверки подлинностидля правил, которые необходимо изменить.

г) На странице «Изменить правило политики» выберите метод проверки подлинности,который следует использовать для этого правила.

д) Нажмите кнопку ОК.

е) Нажмите кнопку Сохранить.

Дополнительные сведения о политиках настройки см. в руководстве по администрированиюVMware Identity Manager.

Теперь режим поддержки только исходящих соединений для соединителя включен. Когдапользователь входит в систему с помощью одного из методов проверки подлинности, которыевключены для соединителя на странице встроенного поставщика удостоверений, HTTP-перенаправление к соединителю не требуется.

Управление параметрами администрирования соединителяVMware Identity ManagerПосле выполнения первичной настройки соединителя VMware Identity Manager можно в любоевремя перейти на страницы администрирования соединителя, чтобы установить сертификаты,управлять паролями и загружать файлы журналов.

Страницы администрирования Соединитель VMware Identity Manager также доступны по ссылкеhttps://connectorFQDN:8443/cfg/login, например https://myconnector.example.com:8443/cfg/login.Войдите в систему как администратор соединителя, используя пароль администратора, заданныйпри установке соединителя.

Таблица 5‑1. Настройки соединителя


Установка сертификатов SSL На вкладках на этой странице можно установитьсертификат SSL для соединителя, загрузитьсамозаверяющийся корневой сертификат и установитьдоверенные корневые сертификаты.

Примечание. Вкладка Сертификат сквозной передачииспользуется только в том случае, если проверкаподлинности сертификата настроена во внедренномсоединителе при развертывании в демилитаризованнойзоне. В других случаях эта вкладка не используется.Дополнительные сведения см. в разделе РазвертываниеVMware Identity Manager в демилитаризованной зоне.

Изменить пароль На этой странице можно изменить пароль администраторасоединителя.

Расположение файлов журнала На этой странице можно создать и загрузить пакет файловжурнала соединителя.


VMware Inc. 51

Использование сертификатов SSL для соединителяПри установке соединителя VMware Identity Manager создается самозаверяющий сертификат SSLпо умолчанию для серверов. В большинстве сценариев можно продолжать использовать этотсамозаверяющий сертификат.

Если соединитель развернут в режиме поддержки исходящих соединений, конечные пользователине получают доступ к нему напрямую, поэтому не обязательно устанавливать сертификат SSL,подписанный открытым центром сертификации. Для доступа администратора к соединителюможно продолжить использовать самозаверяющий сертификат по умолчанию или использоватьсертификат, созданный с помощью внутреннего центра сертификации.

Однако, если включить KerberosIdpAdapter на соединителе, чтобы настроить проверкуподлинности Kerberos для внутренних пользователей, конечные пользователи устанавливают SSL-подключения к соединителю, поэтому у соединителя должен быть подписанный сертификат SSL.Используйте внутренний центр сертификации для создания сертификата SSL.

Если для проверки подлинности Kerberos настроено обеспечение высокой доступности, передэкземплярами соединителя должна быть подсистема балансировки нагрузки. В этом случае вподсистеме балансировки нагрузки и всех экземплярах соединителя должны быть подписанныесертификаты SSL. Используйте внутренний центр сертификации для создания сертификатов SSL.Для сертификата подсистемы балансировки нагрузки используйте имя узла поставщикаудостоверений Workspace, которое задается на странице конфигурации поставщика удостоверенийWorkspace, как обычное различающееся имя субъекта. Для каждого сертификата экземплярасоединителя используйте имя узла соединителя как обычное различающееся имя субъекта. Крометого, можно создать один сертификат, используя имя узла поставщика удостоверений Workspaceкак обычное различающееся имя субъекта, а все имена узлов соединителя и имя узла поставщикаудостоверений рабочей Workspace — как альтернативное имя субъекта (SAN).

Установка подписанного сертификата SSL для соединителяМожно установить подписанный сертификат SSL для соединителя VMware Identity Manager состраниц администрирования соединителя по адресу https://connectorFQDN:8443/cfg/login.

См. раздел Использование сертификатов SSL для соединителя для получения сведений осценариях, в которых требуется сертификат SSL.


Создайте запрос на подпись сертификата (CSR) и получите подписанный сертификат SSL. Уфайлов сертификатов должен быть формат PEM.

Процедура

1. Войдите на страницы администрирования соединителя по адресу https://connectorFQDN:8443/cfg/login как администратор.

2. Щелкните Установка сертификатов SSL.


VMware Inc. 52

3. На вкладке Сертификат сервера в поле Сертификат SSL выберите Пользовательскийсертификат.

4. В текстовом поле Цепочка сертификатов SSL вставьте имя сервера, промежуточные икорневые сертификаты (в таком же порядке).

Нужно вставить всю цепочку сертификатов в правильном порядке. Для каждого сертификатаскопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----».

5. В текстовом поле Закрытый ключ вставьте закрытый ключ. Скопируйте все содержимоемежду «----BEGIN RSA PRIVATE KE» и «---END RSA PRIVATE KEY».

6. Нажмите кнопку Добавить.

Пример: Примеры сертификатов

Пример цепочки сертификатов

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Пример цепочки закрытых ключей

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----


VMware Inc. 53

Загрузка самозаверяющего сертификата корневого центра сертификации — соединительПри развертывании соединителя с самозаверяющим сертификатом SSL, который создается поумолчанию при установке соединителя, установите самозаверяющий сертификат корневого центрасертификации соединителя на всех клиентах, где есть доступ к соединителю. Сертификаткорневого ЦС можно загрузить с консоли администрирования VMware Identity Manager.

Процедура

1. Войдите на страницы администрирования соединителя VMware Identity Managerhttps://connectorFQDN:8443/cfg/login как администратор.

2. Щелкните Установка сертификатов SSL.

3. На вкладке Сертификат сервера щелкните ссылку в поле Самозаверяющие сертификатыкорневого центра сертификации для устройства.

Отобразятся сертификаты.

4. Скопируйте весь текст, включая строки -----BEGIN CERTIFICATE----- и -----ENDCERTIFICATE-----.

Установка доверенных корневых сертификатов на соединителеУстановите корневые или промежуточные сертификаты, которым доверяет соединительVMware Identity Manager. Соединитель сможет установить безопасные подключения к серверам,цепочка сертификатов которых включает в себя любой из таких сертификатов.

Сценарии, в которых необходимо установить доверенные корневые сертификаты на соединителе,перечислены ниже.

n Если настроена подсистема балансировки нагрузки для обеспечения высокой доступностипроверки подлинности Kerberos, установите на экземпляры соединителя сертификат корневогоцентра сертификации для подсистемы балансировки нагрузки, чтобы задать доверие междусоединителями и подсистемой балансировки нагрузки.

n Если выполнена интеграция опубликованных ресурсов Citrix, установите сертификат SSL дляIntegration Broker на соединители, которые будут обмениваться данными с Integration Broker.

Процедура


2. Перейдите на вкладку Установка сертификатов SSL, а затем Доверенные центрысертификации.

3. Вставьте корневой или промежуточный сертификат в текстовом поле.

Скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----».



VMware Inc. 54

Управление паролями соединителя VMware Identity ManagerПри установке Соединитель VMware Identity Manager вы создали пароль для администратора. Выможете менять этот пароль со страниц администрирования соединителя.

Важно. Убедитесь, что создаются надежные пароли. Надежные пароли должны состоять неменее чем из 8 символов, и содержать строчные и прописные буквы, а также по крайней мере однуцифру и специальный символ.

Процедура


2. Нажмите Изменить пароль.

3. Введите старый и новый пароль.

Важно. Пароль администратора должен состоять не менее чем из 6 символов.

4. Нажмите кнопку Сохранить.

Просмотр файлов журналаСоединитель VMware Identity ManagerФайлы журнала могут помочь выполнить отладку и устранитьнеполадки. Файлы журнала можно найти в каталогеInstallDirectory\IDMConnector\opt\vmware\horizon\workspace\logs.

Чаще всего встречаются следующие файлы журнала.

Таблица 5‑2. Файлы журнала

КомпонентРасположение файлов журнала вОС Windows Описание

Журналыконфигуратора

InstallDirectory\IDMConnecto

r\opt\vmware\horizon\workspac

e\logs\configurator.log

Запросы, поступающие в конфигураторот клиента REST и веб-интерфейсапользователя.

Журналысоединителя



e\logs\connector.log

Запись каждого запроса, полученного извеб-интерфейса. Каждая запись журналавключает также URL-адрес, временнуюметку и исключения запроса. Действияпо синхронизации не вносятся в журнал.

ЖурналыApache Tomcat



e\logs\catalina.log

Сообщения Apache Tomcat, незаписанные в другие файлы журнала.

Помимо этого, можно загрузить пакет файлов журнала со страниц администрированияСоединитель VMware Identity Manager.


VMware Inc. 55

Загрузка пакета журналовВы можете загрузить пакет файлов журнала для Соединитель VMware Identity Manager со страницадминистрирования соединителя. Файлы журнала могут помочь выполнить отладку и устранитьнеполадки.

Для сбора пакетов с каждого экземпляра соединителя в вашей среде, войдите на страницыадминистрирования для каждого экземпляра.

Процедура

1. Войдите на страницы администрирования Соединитель VMware Identity Manager по адресуhttps://connectorFQDN:8443/cfg/login как администратор.

2. Щелкните Расположение файлов журнала, а затем выберите Подготовить пакет журнала.

Информация для загрузки собрана в файл с расширением ZIP.

3. Загрузить пакет журналов.

Настройка значения DEBUG в качестве уровня журналаVMware Identity Manager ConnectorВы можете установить уровень ведения журнала DEBUG для регистрации дополнительныхсведений, которые могут помочь при устранении проблем.

Процедура

1. На сервере Windows, на котором установлен соединитель, перейдите в каталогinstall_dir\IDMConnector\usr\local\horizon\conf\.

2. Обновите уровень ведения журнала в файлах cfg-log4j.properties и hc-log4j.properties,которые представляют собой самые часто используемые файлы формата log4j длясоединителя.

а) Измените файл.

б) В строках, для которых задан уровень ведения журнала INFO, замените INFO на DEBUG.

Например, измените:

rootLogger.level=INFO

на:

rootLogger.level=DEBUG

в) Сохраните файл.

Перезапускать службу или систему не нужно.


VMware Inc. 56

Включение параметров прокси-сервера после установкиЕсли не задать параметры прокси-сервера HTTPS для компонента СоединительVMware Identity Manager во время установки, их можно настроить позже, создав файл параметровпрокси-сервера.

Процедура

1. Войдите на сервер Windows.

2. Создайте следующий файл:

install_dir\opt\vmware\horizon\workspace\bin\proxySettings.bat

3. Добавьте в файл следующий параметр:

set "PROXY_OPTS=-Dhttps.proxyHost=proxyhost -Dhttp.proxyHost=proxyhost -

Dhttps.proxyPort=proxyport -Dhttp.proxyPort=proxyport",

где proxyhost — это прокси-сервер HTTPS, а proxyport — порт прокси-сервера HTTPS.

Чтобы указать узлы без прокси-сервера, доступ к которым должен предоставляться безпрохождения через прокси-сервер, добавьте следующее значение для параметра PROXY_OPTS.

-Dhttps.nonProxyHosts=hostList -Dhttp.nonProxyHosts=hostList

где hostList — список узлов, разделенных |. В нем также могут содержаться подстановочныезнаки. Пример:

-Dhttps.nonProxyHosts=*.example.com|localhost -Dhttp.nonProxyHosts=*.example.com|

localhost

4. Сохраните файл.

5. Чтобы запустить службу, выполните следующий сценарий.

install_dir\usr\local\horizon\scripts\horizonService.bat restart

Важно. Не перезапускайте службу с панели служб, так как настройки не обновятсянадлежащим образом.

Настройка высокой доступности для СоединительVMware Identity ManagerДля настройки высокой доступности Соединитель VMware Identity Manager и аварийногопереключения можно добавить несколько экземпляров соединителя в кластер. Если один изэкземпляров соединителя становится недоступным по какой-либо причине, другие экземпляры по-прежнему будут доступны.

Для создания кластера установите новые экземпляры соединителей и настройте их так же, как ите, что вы установили для первого соединителя.


VMware Inc. 57

Затем следует связать все экземпляры соединителя со встроенным поставщиком удостоверений.Служба VMware Identity Manager автоматически распределяет трафик среди всех соединителей,связанных с встроенным поставщиком удостоверений. Подсистема балансировки нагрузки нетребуется. Если один из соединителей становится недоступным из-за проблем в сети, служба ненаправляет на него трафик. Когда подключение будет восстановлено, служба возобновляетотправку трафика на такой соединитель.

Настройка кластера соединителей обеспечивает высокую доступность методов проверкиподлинности, включенных на соединителе. Если один из экземпляров соединителя окажетсянедоступным, это не помешает пройти проверку подлинности. Тем не менее для поддержкисинхронизации каталога в случае сбоя экземпляра соединителя необходимо вручную выбратьдругой экземпляр соединителя для синхронизации. Синхронизацию каталога нельзя включить длянескольких соединителей одновременно.

Примечание. Этот раздел неприменим в случае обеспечения высокой доступности проверкиподлинности Kerberos. См. раздел Добавление метода проверки подлинности Kerberos дляразвертывания Соединитель VMware Identity Manager.

Установить дополнительные экземпляры СоединительVMware Identity ManagerПосле установки и настройки первого экземпляра соединителя СоединительVMware Identity Manager можно добавить дополнительные соединители для обеспечения высокойдоступности, установив новые экземпляры соединителя и настроив их точно так же, как и первыйэкземпляр.

Важно. Новые экземпляры соединителя должны быть активированы для той же службыVMware Identity Manager, что и первый экземпляр соединителя.


Установлен и настроен первый экземпляр соединителя, как описано в разделе Запуск установщикаEnterprise Systems Connector.

Процедура

1. Установите и настройте новый экземпляр соединителя Соединитель VMware Identity Manager,следуя этим инструкциям.

n Запуск установщика Enterprise Systems Connector

n Настройка Соединитель VMware Identity Manager

Важно. Новый экземпляр соединителя должен быть активирован на той же службе VMwareIdentity Manager, что и первый соединитель.


VMware Inc. 58

2. Свяжите новый соединитель Соединитель VMware Identity Manager с поставщикомудостоверений WorkspaceIDP первого экземпляра соединителя.

а) Выберите в консоли администрирования VMware Identity Manager вкладку Управлениеучетными данными и доступом, а затем — вкладку Поставщики удостоверений.

б) На странице «Поставщики удостоверений» найдите WorkspaceIDP первого экземплярасоединителя и щелкните ссылку.

в) В поле Соединители выберите новый соединитель.

г) Введите пароль для базового различающегося имени и щелкните Добавлениесоединителей.

д) Нажмите кнопку Сохранить.

3. На новом соединителе настройте и включите адаптеры проверки подлинности.

Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всехсоединителях в кластере. Кроме того, на всех соединителях также должны быть включеныодинаковые методы проверки подлинности.

а) На вкладке Управление учетными данными и доступом выберите Настройка, а затемвыберите пункт Соединители.

б) Щелкните ссылку в столбце Сотрудник нового соединителя.

в) Перейдите на вкладку Модули авторизации.

Здесь перечислены все доступные адаптеры проверки подлинности соединителя.

Адаптер PasswordIdpAdapter уже настроен и включен, поскольку новый соединитель связанс каталогом, который, в свою очередь, связан с первым соединителем.

г) Настройте и включите другие адаптеры проверки подлинности так же, как первыйсоединитель. Убедитесь, что информация о конфигурации идентична.

Сведения о настройке адаптеров проверки подлинности см. в руководстве поадминистрированию VMware Identity Manager.


Добавление нового экземпляра Соединитель VMware Identity Manager к встроенному поставщикуудостоверений

Добавление нового экземпляра Соединитель VMware Identity Manager квстроенному поставщику удостоверенийПосле развертывания и настройки новых экземпляров Соединитель VMware Identity Managerдобавьте их к встроенному поставщику удостоверений и включите на них те же методы проверкиподлинности, которые включены на первом экземпляре соединителя. VMware Identity Managerавтоматически распределяет трафик между всеми соединителями, связанными со встроеннымпоставщиком удостоверений.


VMware Inc. 59

Процедура

1. В консоли администрирования VMware Identity Manager на вкладке Управление учетнымиданными и доступом выберите Управление.


3. Щелкните ссылку Встроенный.

4. В поле Соединители выберите в раскрывающемся списке новый соединитель и нажмитеДобавление соединителей.

5. В разделе Методы проверки подлинности программы Соединитель включите те жеметоды, которые включены для первого соединителя.

Метод проверки подлинности «Пароль (облачная среда)» включается и настраиваетсяавтоматически. Другие методы проверки подлинности необходимо включать вручную.

Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всехсоединителях в кластере. Кроме того, на всех соединителях также должны быть включеныодинаковые методы проверки подлинности.

Сведения о настройке определенных адаптеров проверки подлинности см. в руководстве поадминистрированию VMware Identity Manager.

6. Щелкните Сохранить, чтобы сохранить конфигурацию встроенного поставщикаудостоверений.

Включение синхронизации каталога на другом соединителе в случае отказаВ случае отказа экземпляра соединителя проверка подлинности выполняется автоматически спомощью экземпляра соединителя. Тем не менее для синхронизации каталога необходимоизменить его параметры в службе VMware Identity Manager так, чтобы вместо исходногоиспользовался другой экземпляр соединителя. Синхронизацию каталога нельзя включить длянескольких соединителей одновременно.

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Каталоги.

3. Щелкните каталог, который был связан с исходным экземпляром соединителя.

Подсказка. Эту информацию можно просмотреть на странице Настройка > Соединители.

4. В разделе Синхронизация службы каталогов и проверка подлинности на страницекаталога выберите в раскрывающемся списке Синхронизируйте соединитель другойэкземпляр соединителя.

5. В текстовом поле Пароль для базового различающегося имени введите пароль учетнойзаписи для подключения Active Directory.


VMware Inc. 60


Добавление метода проверки подлинности Kerberos дляразвертывания Соединитель VMware Identity ManagerВ свое развертывание соединителей, работающих в режиме поддержки только исходящихсоединений, можно добавить проверку подлинности Kerberos для внутренних пользователей,которым требуется режим поддержки только входящих соединений. Те же соединители можнонастроить под использование проверки подлинности Kerberos для пользователей, которыеподключаются из внутренней сети, а другой метод проверки подлинности применять дляпользователей, которые подключаются из внешней сети. Для этого определите политики проверкиподлинности на основании сетевых диапазонов.

Требования и рекомендации.

n Вне зависимости от типа каталога, настраиваемого в VMware Identity Manager, Active Directory спротоколом LDAP или Active Directory (встроенная проверка подлинности Windows), можнонастроить проверку подлинности Kerberos.

n Компьютер под управлением Windows, на который устанавливается компонент соединителяVMware Identity Manager, должен быть подключен к домену.

n Компонент Соединитель VMware Identity Manager должен быть установлен как пользовательдомена, который является частью группы администраторов на компьютере под управлениемWindows. Вам необходимо запустить службу соединителя VMware IDM в качестве пользователядомена Windows.

n У всех соединителей, на которых настроена проверка подлинности Kerberos, должен бытьдоверенный сертификат SSL. Его можно получить сертификат в своем внутреннем центресертификации. Проверка подлинности Kerberos не работает с самозаверяющимисертификатами.

Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинностиKerberos на одном или нескольких соединителях для обеспечения высокой доступности.

n Чтобы настроить высокую доступность для проверки подлинности Kerberos, требуетсяподсистема балансировки нагрузки.

Настройка и включение адаптера проверки подлинности KerberosНа Соединитель VMware Identity Manager настройте и включите KerberosIdpAdapter. Приразвертывании кластера для обеспечения высокой доступности адаптер следует настроить ивключить на всех входящих в него соединителях.

Важно. Адаптеры проверки подлинности должны быть настроены одинаково на всехсоединителях в кластере. Кроме того, на всех соединителях должны быть настроены одинаковыеметоды проверки подлинности.


VMware Inc. 61

При настройке адаптера проверки подлинности Kerberos соединитель VMware Identity Managerпредпримет попытку инициализации Kerberos автоматически. Если служба соединителя VMwareIDM была запущена с недостаточными правами для инициализации Kerberos, появится сообщениеоб ошибке. В таком случае следуйте инструкциям, приведенным в разделе http://kb.vmware.com/kb/2149753, для запуска сценария инициализации Kerberos.

Дополнительные сведения о настройке проверки подлинности Kerberos см. в руководстве поадминистрированию VMware Identity Manager.


n Компьютер под управлением Windows, на который устанавливается соединительVMware Identity Manager, должен быть подключен к домену.

n Компонент Соединитель VMware Identity Manager должен быть установлен как пользовательдомена, который является частью группы администраторов на компьютере под управлениемWindows. Вам необходимо запустить службу соединителя VMware IDM в качестве пользователядомена Windows.

Процедура

1. В консоли администрирования VMware Identity Manager выберите вкладку Управлениеучетными данными и доступом.

2. Щелкните Настройка, а затем выберите вкладку Соединители.

Отобразится список всех развернутых соединителей.

3. Щелкните ссылку в столбце Сотрудник одного из соединителей.

4. Перейдите на вкладку Модули авторизации.

5. Щелкните ссылку KerberosIdpAdapter, а затем настройте и включите адаптер.


Имя Имя адаптера по умолчанию — KerberosIdpAdapter. Его можно изменить.

Атрибут UID каталога Атрибут учетной записи, который содержит имя пользователя.

Включить проверку подлинностиWindows.

Выберите этот параметр.

Включить перенаправление Если в кластере есть несколько соединителей и планируется обеспечитьвысокую доступность Kerberos с помощью подсистемы балансировкинагрузки, выберите этот параметр и задайте значение параметра Имя узладля перенаправления.

Если в среде используется только один соединитель, параметры Включитьперенаправление и Имя узла для перенаправления использоватьнеобязательно.

Имя узла для перенаправления Значение является обязательным, если выбран параметр Включитьперенаправление. Введите собственное имя узла соединителя. Например,если имя узла соединителя — connector1.example.com, введите в текстовомполе connector1.example.com.


VMware Inc. 62

http://kb.vmware.com/kb/2149753

Например:

Сведения о настройке KerberosIdPAdapter см. в руководстве по администрированиюVMware Identity Manager.


Примечание. Если появляется сообщение о сбое инициализации Kerberos, запуститесценарий инициализации Kerberos вручную, следуя инструкциям в разделе http://kb.vmware.com/kb/2149753, далее вернитесь на эту страницу и настройте адаптер.

7. При развертывании кластера следует настроить и включить KerberosIdpAdapter на всехсоединителях в этом кластере.

Адаптер должен быть одинаково настроен на всех соединителях, за исключением значения«Имя узла для перенаправления», которое является специфическим для каждого изсоединителей.


n Проверьте наличие доверенного сертификата SSL на всех соединителях, на которых включенпараметр KerberosIdpAdapter. Его можно получить сертификат в своем внутреннем центресертификации. Проверка подлинности Kerberos не работает с самозаверяющимисертификатами.

Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинностиKerberos на одном или нескольких соединителях для обеспечения высокой доступности.

n При необходимости настройте высокую доступность для проверки подлинности Kerberos. Безподсистемы балансировки нагрузки высокая доступность проверки подлинности Kerberos необеспечивается.

Настройка высокой доступности для проверки подлинности KerberosЧтобы настроить высокую доступность для проверки подлинности Kerberos, установитеподсистему балансировки нагрузки в вашей внутренней сети за брандмауэром и добавьте к нейэкземпляр Соединитель VMware Identity Manager.


VMware Inc. 63

http://kb.vmware.com/kb/2149753

Кроме того, в подсистеме балансировки нагрузки необходимо задать определенные параметры,установить доверие SSL между этой подсистемой и экземпляром соединителя, а также изменитьURL-адрес проверки подлинности соединителя, чтобы в нем использовалось имя узла подсистемыбалансировки нагрузки.

Настройка параметров подсистемы балансировки нагрузкиВ подсистеме балансировки нагрузки необходимо настроить ряд параметров, в том числеправильное время ожидания и поддержку закрепленных сеансов.

Настройте следующие параметры.

n Время ожидания средства балансировки нагрузки

В некоторых случаях для правильной работы Соединитель VMware Identity Managerнеобходимо увеличить заданное по умолчанию время ожидания для запросов средствабалансировки нагрузки. Это значение задается в минутах. Если значение времени ожиданияслишком мало, может отобразиться следующее сообщение об ошибке.

Ошибка 502. В настоящее время служба недоступна.

n Включение закрепляемых сеансов

Если в развернутой системе находится несколько экземпляров соединителя, следует включитьзакрепляемые сеансы в подсистеме балансировки нагрузки. После этого средствобалансировки нагрузки будет привязывать сеанс пользователя к определенному экземплярусоединителя.

Применение корневого сертификата Соединитель VMware Identity Manager вподсистеме балансировки нагрузкиЕсли Соединитель VMware Identity Manager настроено после подсистемы балансировки нагрузки,необходимо установить соответствие SSL между соединителем и подсистемой балансировкинагрузки. Корневой сертификат соединитель должен быть скопирован в подсистему балансировкинагрузки в качестве доверенного корневого сертификата.

Сертификат Соединитель VMware Identity Manager можно загрузить со страницадминистрирования соединителя по ссылке https://connectorFQDN:8443/cfg/ssl.

Если доменное имя соединителя указывает на подсистему балансировки нагрузки, сертификат SSLприменяется только к нему.

Процедура

1. Войдите на страницы администрирования соединителя на https://connectorFQDN:8443/cfg/login,как администратор.

2. Выберите Установка сертификатов SSL.


VMware Inc. 64

3. На вкладке Сертификат сервера щелкните ссылку в поле Самозаверяющие сертификатыкорневого центра сертификации для устройства.

4. Скопируйте все содержимое между линиями и сами линии «-----BEGIN CERTIFICATE-----» и«-----END CERTIFICATE----» и вставьте корневой сертификат в нужное расположение длякаждого средства балансировки нагрузки. Дополнительные сведения см. в документации поподсистеме балансировки нагрузки.


Скопируйте и вставьте корневой сертификат подсистемы балансировки нагрузки на СоединительVMware Identity Manager.

Применение корневого сертификата подсистемы балансировки нагрузки в СоединительVMware Identity ManagerЕсли компонент Соединитель VMware Identity Manager настроен после подсистемы балансировкинагрузки, необходимо установить соответствие между соединителем и подсистемой балансировкинагрузки. Кроме копирования корневого сертификата соединителя в подсистему балансировкинагрузки, необходимо скопировать корневой сертификат подсистемы балансировки нагрузки всоединитель.

Процедура

1. Получите корневой сертификат средства балансировки нагрузки.

2. Перейдите на страницы администрирования Соединитель VMware Identity Manager наhttps://connectorFQDN:8443/cfg/login и войдите в систему как администратор.

3. Перейдите на вкладку Установка сертификатов SSL > Доверенные центры сертификации.


VMware Inc. 65

4. Вставьте текст сертификата подсистемы балансировки нагрузки в текстовое поле Корневойили промежуточный сертификат.


Изменение имени узла поставщика удостоверений соединителя на имя узла подсистемыбалансировки нагрузкиПосле добавления экземпляров Соединитель VMware Identity Manager в подсистему балансировкинагрузки необходимо сменить в Workspace имя узла поставщика удостоверений каждогосоединителя на имя узла подсистемы балансировки нагрузки.


Экземпляры соединителя настраиваются за подсистемой балансировки нагрузки. Убедитесь, чтоподсистема балансировки нагрузки использует порт 443. Не используйте порт 8443, так как этономер порта администрирования.

Процедура


2. Откройте вкладку Управление учетными данными и доступом.


4. На странице «Поставщики удостоверений» щелкните ссылку на поставщика удостоверенийWorkspace для экземпляра соединителя.

5. В текстовом поле Имя узла поставщика удостоверений измените имя узла соединителя наимя узла подсистемы балансировки нагрузки.

Например, если имя узла вашего соединителя мой_соединитель, а имя узла подсистемыбалансировки нагрузки (ПБН) мое_ПБН, можно изменить URL-адрес

myconnector.mycompany.com:порт


VMware Inc. 66

на следующий:

mylb.mycompany.com:порт

Удаление экземпляра Соединитель VMware Identity ManagerЭкземпляр Соединитель VMware Identity Manager можно удалить из службыVMware Identity Manager. Экземпляр соединитель нельзя удалить, если с ним связан каталог.


VMware Inc. 67

Например, иногда экземпляр соединитель нужно удалить, чтобы использовать то же имя узла длянового экземпляра соединитель.

Процедура


2. Перейдите на вкладку Управление учетными данными и доступом и щелкните Настройка.

3. Если каталог связан с экземпляром соединитель, который необходимо удалить, сначаласледует удалить каталог.

а) Щелкните имя каталога в столбце Связанный каталог.

б) Нажмите кнопку Удалить каталог.

4. На странице Настройка > Соединители щелкните значок Удалить рядом с экземпляромсоединитель, который необходимо удалить, а затем нажмите Подтвердить.

Экземпляр соединитель будет удален из службы VMware Identity Manager.

5. Выполните деинсталляцию компонентаСоединитель VMware Identity Manager с сервераWindows, на котором он установлен.

Обновление VMware Identity Manager ConnectorЧтобы обновить компонент Соединитель VMware Identity Manager соединителяEnterprise Systems Connector, загрузите установщик из консоли AirWatch последней версии изапустите его. Удалять старую версию не нужно.

После обновления не требуется создавать код активации или повторно активировать СоединительVMware Identity Manager. Существующая конфигурация применяется к обновленному соединителю.

Процедура

1. Войдите в консоль AirWatch последней версии.

2. Последовательно щелкните Группы и параметры > Все настройки > Система > Интеграцияпредприятия > VMware Enterprise Systems Connector.

3. На вкладке Общие щелкните Загрузить установщик VMware Enterprise Systems Connector.

Отобразится страница «Загрузка установщика VMware Enterprise Systems Connector».

4. Создайте пароль для сертификата и нажмите кнопку Скачать.

Этот пароль потребуется для установки компонента ACC.

5. Сохраните файл установщика на том же сервере Windows, где установлена предыдущаяверсия соединителя.

6. Запустите установщик и следуйте указаниям, чтобы выполнить обновление.


VMware Inc. 68

7. Если среда JRE была обновлена во время обновления соединителя, необходимо восстановитьфайл cacerts, резервная копия которого была создана установщиком в ходе обновления.

Скопируйте файл opt\vmware\horizon\workspace\install\cacerts.sav в созданную папкуJAVA_HOME\lib\security под именем cacerts, без расширения .sav. Он заменит имеющийсяв папке файл cacerts.

Примечание. Если во время обновления установщик обнаружит, что на сервере Windowsустановлена среда JRE, версия которой меньше версии среды JRE, входящей в составустановщика, то будет предложено установить новую версию JRE.

8. После завершения обновления перезагрузите сервер Windows.

После перезагрузки сервера для переменной JAVA_HOME будет установлено значение,соответствующее последней версии среды JRE, которая была установлена во времяобновления, и соединитель сможет использовать эту новую версию.


После обновления до версии 9.2.2 измените файлinstall_dir\IDMConnector\usr\local\horizon\conf\runtime-config.properties и изменитезначение свойства connector.api.version на значение 5.

Примечание. Это нужно сделать только при обновлении до версии 9.2.2 с более ранней версии.

Обновление среды Java на сервере соединителяДля компонента соединителя VMware Identity Manager Connector требуется среда Java RuntimeEnvironment (JRE).

Версия JRE, которая требуется соединителю VMware Enterprise Systems Connector, входит в составустановщика для этого соединителя. При обновлении компонента соединителяVMware Identity Manager предлагается также обновить среду JRE. Информацию об обновлениисреды JRE при работе с установщиком см. в разделе Обновление VMware Identity ManagerConnector.

Если необходимо обновить среду JRE на сервере соединителя в произвольный момент времени,выполните указанные ниже действия, чтобы гарантировать правильную работуVMware Identity Manager Connector после обновления JRE.

Примечание. Если JRE обновится автоматически, выполните шаги 3–6 после обновления.

Примечание. Эта процедура применима к VMware Identity Manager Connector версии 3.1 и болеепоздней.

Процедура

1. Остановите службу соединителя.

2. Установите новую версию JRE.


VMware Inc. 69

3. Обновите переменную среды JAVA_HOME, чтобы она указывала на новую среду JRE.

4. Измените файл %JAVA_HOME%/lib/security/java.security и добавьте следующий параметр:

crypto.policy=unlimited

5. Откройте командную строку от имени администратора и выполните следующий сценарий:

install_dir\IDMConnector\usr\local\horizon\scripts\reloadInstalledRootCerts.bat

6. Перезапустите службу соединителя.


VMware Inc. 70

Миграция каталога из ACC вСоединительVMware Identity Manager 6Клиенты Workspace ONE, которые развернули синхронизацию Active Directory сVMware Identity Manager, используя только существующие соединители, должны выполнитьпроцедуру миграции для получения дополнительного функционала, включенного в СоединительVMware Identity Manager компонент Enterprise Systems Connector. Это одноразовая процедура, вовремя которой каталог ACC типа «Другой» конвертируется в каталог типа Active Directory по LDAPили Active Directory (встроенная проверка подлинности Windows), которые связаны с СоединительVMware Identity Manager. В результате выполнения данной процедуры никакой существующийкаталог не удаляется, равно как и все права, связанные с ним.

Примечание. Модель только ACC для синхронизации каталогов и проверки подлинности сVMware Identity Manager все еще доступна и поддерживается простым обновлением ACC.Процедура миграции необходима только в том случае, если вы хотите воспользоваться новымифункциями.

При преобразовании в каталог с типом «Другой» предусматривается выполнение следующихзадач.

1. Выполните преобразование каталога с типом «Другой» в Active Directory по LDAP либо ActiveDirectory (встроенная проверка подлинности Windows).

2. При необходимости настройте дополнительные методы проверки подлинности программыСоединитель VMware Identity Manager для каталога. Метод проверки подлинности с помощьюпароля доступен по умолчанию.

3. Отредактируйте политику по умолчанию и любые пользовательские политики дляиспользования пароля либо другого метода проверки подлинности VMware Identity Managerвместо пароля (AirWatch Connector).

4. Остановите синхронизацию пользователей и групп из AirWatch в каталогVMware Identity Manager.


n Преобразование каталога типа «Другой» в Active Directory с протоколом LDAP либо ActiveDirectory (встроенная проверка подлинности Windows)

n Остановка синхронизации каталога с AirWatch в VMware Identity Manager

VMware Inc. 71

Преобразование каталога типа «Другой» в Active Directory спротоколом LDAP либо Active Directory (встроенная проверкаподлинности Windows)Можно преобразовать каталог типа «Другой», в котором хранятся пользователи и группы,синхронизированные из AirWatch, в каталог типа Active Directory с протоколом LDAP или ActiveDirectory (встроенная проверка подлинности Windows), связанный с соединителемVMware Identity Manager. После преобразования каталога соединитель VMware Identity Managerбудет использоваться вместо ACC для синхронизации пользователей и групп из корпоративногокаталога в VMware Identity Manager.


n Установите и активируйте компонент Соединитель VMware Identity ManagerVMware Enterprise Systems Connector на сервере Windows Server.

Чтобы использовать некоторые функции, сервер Windows Server должен быть соединен сдоменом, установка компонента Соединитель VMware Identity Manager должна быть выполненаот имени пользователя домена, который входит в группу администраторов сервера WindowsServer, а служба IDM Connector должна быть запущена от имени пользователя доменаWindows.

Данное требование применимо для следующих случаев.

n Если вы планируете преобразовать каталог с типом «Другой» в Active Directory (встроеннаяпроверка подлинности Windows)


n Если планируется интеграция Horizon View с VMware Identity Manager и требуетсявоспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройкасервера подключений 5.x».

n Вам понадобится следующая информация по Active Directory:

n Если вы выполняете преобразование в Active Directory по LDAP, требуется указать базовоеразличающееся имя, различающееся имя домена и пароль к нему. Рекомендуетсяиспользовать учетную запись пользователя различающегося имени для подключения спаролем без срока действия.

n Если вы выполняете преобразование в Active Directory (встроенная проверка подлинностиWindows), потребуется UPN-адрес и пароль пользователя привязки. Рекомендуетсяиспользовать учетную запись пользователя различающегося имени для подключения спаролем без срока действия.

n Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуетсясертификат корневого центра сертификации контроллера домена Active Directory.


VMware Inc. 72

n Если для встроенной проверки подлинности Windows в Active Directory настроена службаActive Directory с несколькими лесами, а локальная группа домена содержит участников издоменов в разных лесах, обязательно добавьте пользователя привязки в группуадминистраторов домена, в котором находится локальная группа домена. Если не сделатьэтого, эти участники не будут входить в локальную группу домена.

Процедура

1. В консоли администрирования VMware Identity Manager перейдите на вкладку Управлениеучетными данными и доступом и выберите вкладку Каталоги.

2. Нажмите название каталога, который вы хотите преобразовать.

3. На странице каталога нажмите кнопку Преобразовать.

4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите типкаталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory спротоколом LDAP или Active Directory (встроенная проверка подлинности Windows).

5. Введите информацию по соединению с Active Directory и запустите установщик, чтобывыполнить настройку каталога.

Для получения более подробной информации см. раздел «Конфигурация соединения ActiveDirectory со службой» в руководстве Интеграция каталога с VMware Identity Manager.

Придерживайтесь следующих инструкций.

n В поле Синхронизация соединителя выберите установленный соединительVMware Identity Manager.

n В разделе Синхронизация каталогов и проверка подлинности выберите Да дляпараметра Проверка подлинности, если только вы не собираетесь использовать дляпроверки подлинности стороннего поставщика удостоверений вместо соединителя.

n Убедитесь, что вы настроили преобразованный каталог точно так же, как и каталогAirWatch. Оба каталога должны иметь одинаковую структуру. Выберите одинаковыедомены. При указании пользователей и групп для синхронизации выберите те же варианты,что и для каталога AirWatch, так, чтобы в преобразованном каталоге синхронизировалисьте же пользователи и группы.

6. На последней странице мастера нажмите Синхронизировать каталог.

Каталог будет преобразован и настроен для использования соединителяVMware Identity Manager. Будет создан поставщик удостоверений Workspace, если он еще несуществовал до этого, и каталог будет автоматически связан с этим поставщиком. Методпроверки подлинности с помощью пароля для данного каталога уже активирован.


VMware Inc. 73

7. (Необязательно) Для активации других методов проверки подлинности каталога выполнитеданные шаги.

а) На вкладке Управление учетными данными и доступом щелкните Настройка.

б) На странице «Соединители» определите соединитель и рабочий процесс, с которым связанпреобразованный каталог, и нажмите ссылку в столбце Рабочий процесс.

в) На странице рабочего процесса нажмите вкладку Адаптеры проверки подлинности.

г) Настройте и включите адаптеры проверки подлинности, которые необходимо использоватьдля каталога. Для этого щелкните ссылку для каждого из них и введите сведения оконфигурации.

Для получения более подробной информации по настройке адаптеров подлинности см.раздел Управление VMware Identity Manager.

8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы выбратьметоды проверки подлинности соединителя VMware Identity Manager вместо использованияпароля (AirWatch Connector).

а) На вкладке Управление учетными данными и доступом выберите вкладку Политики.

б) Щелкните Редактировать политику по умолчанию.

в) В меню Правила и политика отредактируйте столбец Методы проверки подлинностидля каждого правила и вместо Пароль (AirWatch Connector) выберите Пароль. Это будетметодом определения подлинности VMware Identity Manager соединителя.

г) Cнова выберите вкладку Политики и измените пользовательские политики, если таковыеимеются, так, чтобы в них использовался пароль либо иной настроенный вами методпроверки подлинности VMware Identity Manager соединителя.

Важно. Если не заменить Пароль (Airwatch Connector) на Пароль либо иной методVMware Identity Manager проверки подлинности на основе соединителя, пользователиконвертированного каталога не смогут войти в систему.


Остановить синхронизацию каталога с AirWatch на конвертированный каталог.

Остановка синхронизации каталога с AirWatch в VMwareIdentity ManagerПосле преобразования каталога с типом «Другой» в Active Directory по LDAP или Active Directory(встроенная проверка подлинности Windows) и его объединение с соединителем VMware IdentityManager, соединитель VMware Identity Manager используется для синхронизации пользователей игрупп с вашего корпоративного каталога с преобразованным каталогом. Требуется остановитьсинхронизацию пользователя и группы с AirWatch в каталог VMware Identity Manager.


VMware Inc. 74

Процедура

1. В консоли AirWatch перейдите в раздел «Организационная группа».

2. Перейдите на страницу Группы и настройки > Все настройки > Система > Интеграция напредприятии > VMware Identity Manager.

3. Нажмите кнопку Удалить, расположенную внизу страницы.

Преобразование каталога завершено. Пользователи и группы теперь синхронизированы с каталогавашего предприятия в службу VMware Identity Manager с помощью соединителя VMware IdentityManager. Пользователи могут по-прежнему входить в систему и пользоваться своимиприложениями.

Примечание. Имя домена отображено на странице входа в систему и может отличаться отизначального после того, как каталог был преобразован, если имя домена отличается от именидомена NETBIOS. При синхронизации AirWatch будет отображено имя домена NETBIOS. Присинхронизации соединителя VMware Identity Manager будет отображено имя домена.


VMware Inc. 75

Устранение неполадок вEnterprise Systems Connector 7В статьях по устранению неполадок описаны стандартные проблемы и решения для установки иуправления Enterprise Systems Connector.

Сброс пароля администратора для СоединительVMware Identity ManagerМожно изменить пароль администратора Соединитель VMware Identity Manager со страницадминистрирования соединителя по адресу https://connectorFQDN:8443/cfg/login. Однако если неудается войти в систему и требуется сбросить пароль, можно использовать сценарийhznSetAdminPassword.bat для сброса пароля.

Процедура

1. В Windows Server откройте окно командной строки.

2. Перейдите в папку INSTALL_DIR\IDMConnector\usr\local\horizon\bin:

cd INSTALL_DIR\IDMConnector\usr\local\horizon\bin

где INSTALL_DIR — каталог установки Соединитель VMware Identity Manager .

3. Выполните следующую команду:

hznSetAdminPassword.bat newPassword

VMware Inc. 76

Documents

Руководство наст ройке VMware по уст ановке и ......Руководство по уст ановке и наст ройке VMware Enterprise Systems