2024年2月13日发(作者：)

安装和配置 VMwareIdentity ManagerConnector 19.03.0.0(Windows)2019 年 4 月VMware Identity ManagerVMware Identity Manager 19.03

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)您可以从 VMware 网站下载最新的技术文档：/cn/。VMware 网站还提供了最近的产品更新。如果您对本文档有任何意见或建议，请将反馈信息发送至：**********************

VMware, Inc.北京办公室上海办公室3401 Hillview Ave.北京市上海市Palo Alto, CA 94304朝阳区新源南路 8 号淮海中路 333 号启皓北京东塔 8 层 801瑞安大厦 804-809 室//cn版权所有

© 2018、2019 VMware, Inc. 保留所有权利。 版权和商标信息。VMware, Inc. 保留所有权利。

广州办公室广州市天河路 385 号太古汇一座 3502 室/cn 2

目录安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)51关于 VMware Identity Manager Connector62准备在 Windows 上安装 VMware Identity Manager Connector8VMware Identity Manager Connector 的系统要求 (Windows)8VMware Identity Manager Connector 的部署清单 (Windows)113在 Windows 上安装 VMware Identity Manager Connector14为 VMware Identity Manager Connector 生成激活码14运行 VMware Identity Manager Connector 安装程序15运行 VMware Identity Manager Connector 设置向导21为 VMware Identity Manager Connector 配置代理设置234配置 VMware Identity Manager Connector24设置目录24在 VMware Identity Manager Connector 上启用身份验证适配器25为 VMware Identity Manager Connector 启用出站模式265为 VMware Identity Manager Connector 配置高可用性30安装并配置其他 VMware Identity Manager Connector 实例30为身份验证配置高可用性31为目录同步配置高可用性326将 Kerberos 身份验证支持添加到 VMware Identity Manager Connector 部署配置和启用 Kerberos 身份验证适配器36为 Kerberos 身份验证配置高可用性387其他 VMware Identity Manager Connector 设置42将 SSL 证书用于 VMware Identity Manager Connector42为 VMware Identity Manager Connector 配置 Syslog 服务器45管理 VMware Identity Manager Connector 密码45为 VMware Identity Manager Connector 配置代理设置46查看和下载 VMware Identity Manager Connector 日志文件46为 VMware Identity Manager Connector (Windows) 配置时间同步488升级 VMware Identity Manager Connector (Windows)50VMware, Inc. 保留所有权利。

35 3

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)9在 VMware Identity Manager Connector 服务器上升级 Java5110删除 VMware Identity Manager Connector 实例5211从 ACC 到 VMware Identity Manager Connector 的目录迁移53将“其他”目录转换为“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证访问的 Active Directory”53停止从 Workspace ONE UEM 到 VMware Identity Manager 的目录同步5512VMware Identity Manager Connector 故障排除57重置 VMware Identity Manager Connector 的管理员用户密码57Kerberos 初始化错误57VMware, Inc. 保留所有权利。

4

安装和配置 VMware Identity ManagerConnector 19.03.0.0 (Windows)《安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)》提供了有关安装和配置 Windows版本的 VMware Identity Manager™ Connector（VMware Identity Manager 的内部部署组件）的信息。注 有关部署 Linux 版 VMware Identity Manager Connector 的信息，请参阅《VMware Identity Manager 云部署》（云部署）或《在 DMZ 中部署 VMware Identity Manager》（内部部署）。目标读者本文档中的信息专门为已熟练掌握虚拟机技术和数据中心操作、并具有丰富经验的 Windows 系统管理员编写。VMware, Inc. 保留所有权利。 5

关于 VMware Identity ManagerConnector用户身份验证以及与资源（如 Horizon 7）的集成。1VMware Identity Manager Connector是 VMware Identity Manager 的一个内部部署组件，可提供目录集成、该连接器是在出站连接模式下部署的，不要求打开入站端口 443。它通过基于 Websocket 的通信通道与VMware Identity Manager服务进行通信。图 1‑1. VMware Identity Manager Connector 部署内部部署112VMware Identity

Manager 租户3Websocket通道请求响应HTTPS 443（仅出站）VMware IdentityManager

Connector可选的服务Active

Directory/LDAPRSA

自适应身份验证RSA

SecurIDRADIUS服务器View

连接服务器IntegrationBrokerCitrix 场注 图中所描述的 VMware Identity Manager 租户可以位于云中，也可以在内部部署。VMware, Inc. 保留所有权利。 6

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)支持的身份验证方法VMware Identity Manager Connector支持以下身份验证方法。nnnnn密码RSA 自适应身份验证RSA SecurIDRADIUS针对内部用户的 Kerberos 身份验证注 除了这些基于连接器的身份验证方法之外，还可以使用基于 VMware Identity Manager 服务的身份验证方法。此外，也可使用通过第三方身份提供程序提供的入站 SAML。支持的目录集成VMware Identity Manager Connector支持与以下类型的企业目录相集成。nnn通过 LDAP 访问的 Active Directory通过集成 Windows 身份验证访问的 Active DirectoryLDAP 目录注 您也可以在登录时使用 Just-in-Time 置备在 VMware Identity Manager服务中动态创建用户（使用第三方身份提供程序发送的 SAML 断言）。支持的资源VMware Identity Manager Connector支持与以下类型的资源相集成。nnnVMware Horizon 7、Horizon 6 或 View 桌面和应用程序池具有托管和内部部署基础架构的 VMware Horizon Cloud Service™Citrix 发布的资源®®注 此外，VMware Identity Manager 还支持 Web 应用程序和本机移动应用程序。VMware, Inc. 保留所有权利。 7

准备在 Windows 上安装 VMwareIdentity Manager Connector在部署 VMware Identity Manager Connector 之前，请查看系统要求并准备您的环境。本章讨论了以下主题：nn2VMware Identity Manager Connector 的系统要求 (Windows)VMware Identity Manager Connector 的部署清单 (Windows)VMware Identity Manager Connector 的系统要求 (Windows)要部署 VMware Identity Manager Connector，请确保系统满足必需的要求。硬件要求确保 Windows Server 满足以下硬件要求。表 2‑1. VMware Identity Manager Connector 要求用户数量CPU最多 100021000 至 10,0002 个负载平衡服务器，每个服务器具有 4 个 CPU每个服务器的 RAM(GB)磁盘空间 (GB)6各 610,000 至 25,0002 个负载平衡服务器，每个服务器具有4 个 CPU各 825,000 至 50,0002 个负载平衡服务器，每个服务器具有 4 个 CPU各 1650,000 至 100,0002 个负载平衡服务器，每个服务器具有 4 个CPU各 1650各 50各 50各 50各 50注

nn每个 CPU 内核应该为 2.0 GHz 或更高。需要使用 Intel 处理器。磁盘空间要求包括：将 1 GB 磁盘空间用于 VMware Identity Manager Connector 应用程序、Windows操作系统和 .NET 运行时。分配额外的磁盘空间以用于日志记录。软件要求确保 Windows Server 满足以下软件要求。VMware, Inc. 保留所有权利。 8

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)状态检查表要求Windows Server 2008 R2、Windows Server 2012 或Windows Server 2012 R2 或Windows Server 2016在服务器上安装 PowerShell安装 .NET Framework 4.6.2备注注 如果在 Windows Server 2008 R2 上安装，则需要使用 PowerShell 4.0 版本。网络要求要配置下面列出的端口，所有流量都是单向的，即从源组件到目标组件（出站）。出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 VMware Identity Manager Connector 的出站连接。由 VMware Identity Manager Connector 使用所需的出站连接必须始终保持打开状态。表 2‑2. VMware Identity Manager Connector 端口要求源VMware IdentityManager Connector目标VMware Identity Manager服务VMware Identity Manager 服务主机（内部部署安装）VMware IdentityManager ConnectorVMware Identity Manager 服务负载平衡器（内部部署安装）VMware Identity ManagerConnectorVMware Identity ManagerConnectorVMware Identity ManagerConnector8443HTTPS管理端口必填80HTTP必填443HTTPS端口443协议HTTPS备注默认端口必填浏览器浏览器浏览器443HTTPS只有在入站模式中使用的连接器才需要此端口。如果在连接器上配置了Kerberos 身份验证，则需要此端口。VMware IdentityManager ConnectorVMware IdentityManager ConnectorActive Directory389、636、3268、3269默认端口。这些端口是可配置的。TCP/UDP每个实例必须有权通过端口 53 访问 DNS 服务器，并允许通过端口 22 传输入站 SSH 流量。DNS 服务器53VMware IdentityManager ConnectorVMware IdentityManager ConnectorVMware IdentityManager Connector域控制器88、464、135、4455500TCP/UDP用于 Kerberos 身份验证RSA SecurID 系统默认端口。此端口是可配置的。访问 Horizon 连接服务器实例以进行 Horizon 集成Horizon 连接服务器389、443VMware, Inc. 保留所有权利。 9

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)表 2‑2. VMware Identity Manager Connector 端口要求 （续）源VMware IdentityManager Connector目标Integration Broker端口80、443协议备注访问 Integration Broker，以便与 Citrix 发布的资源集成在一起。重要 如果在与 VMwareIdentity ManagerConnector 相同的Windows Server 上安装Integration Broker，您必须确保 IIS 服务器默认网站站点绑定中的 HTTP 和HTTPS 绑定端口与VMware IdentityManager Connector 使用的端口不发生冲突。VMware IdentityManager Connector 使用端口 80、443 和 8443。不建议在 VMware IdentityManager Connector 服务器上安装 IntegrationBroker。VMware IdentityManager Connectorsyslog 服务器514UDP用于外部 syslog 服务器（如果配置）VMware Identity Manager 云托管 IP 地址（云部署）有关 VMware Identity Manager Connector 必须有权访问的 VMware Identity Manager 服务 IP 地址的列表，请参阅知识库文章 2149884。DNS 记录和 IP 地址要求DNS 条目和静态 IP 地址必须可用于连接器。在开始安装之前，获取要使用的 DNS 记录和 IP 地址并配置Windows Server 的网络设置。如果您打算配置 Kerberos 身份验证，请确保为连接器选择适当的用户友好主机名。配置 Kerberos 后，最终用户可以看到 VMware Identity Manager Connector 主机名。配置反向查询是可选的。在执行反向查找时，您必须在 DNS 服务器上定义 PTR 记录，以便连接器使用正确的网络配置。您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。表 2‑3. 前向 DNS 记录和 IP 地址示例域名资源类型AIP 地址10.28.128.3VMware, Inc. 保留所有权利。 10

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)该示例列出了反向 DNS 记录和 IP 地址。表 2‑4. 反向 DNS 记录和 IP 地址示例IP 地址10.28.128.3资源类型PTR主机名称完成 DNS 配置后，请验证反向 DNS 查询是否正确配置。例如，命令 host IPaddress 必须解析为 DNS名称查找。注 如果在 DNS 服务器前面的负载平衡器具有虚拟 IP 地址 (Virtual IP, VIP)，请注意 VMware Identity Manager不支持使用 VIP。您可以指定多个以逗号分隔的 DNS 服务器名称。注 如果使用基于 Unix 或 Linux 的 DNS 服务器并打算将连接器加入 Active Directory 域，请确保为每个Active Directory 域控制器创建相应的服务 (SRV) 资源记录。时间同步要使 VMware Identity Manager 部署正常工作，需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。有关为 VMware Identity Manager Connector 配置时间同步的信息，请参阅为 VMware Identity ManagerConnector (Windows) 配置时间同步。有关为 VMware Identity Manager 服务配置时间同步的信息，请参阅《安装和配置适用于 Linux 的 VMwareIdentity Manager》和《安装和配置适用于 Windows 的 VMware Identity Manager》。支持的 Active Directory 版本支持包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林中的多个域的 Active Directory 环境。在域功能级别和林功能级别为 Windows 2003 和更高版本的 Windows Server 2008、Windows Server 2008R2、Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上，VMware Identity Manager 支持 Active Directory。注 某些功能可能需要更高的功能级别。例如，要允许用户从 Workspace ONE 更改 Active Directory 密码，域功能级别必须为 Windows 2008 或更高版本。VMware Identity Manager Connector 的部署清单 (Windows)您可以使用部署清单来收集在 Windows 上安装和配置 VMware Identity Manager Connector 所必需的信息。完全限定域名信息要收集的信息VMware Identity Manager Connector FQDN列出信息VMware, Inc. 保留所有权利。 11

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)网络信息要收集的信息IP 地址列出信息注 您必须使用静态 IP 地址，并且该地址必须在 DNS 中定义了PTR 和 A 记录。DNS 主机名默认网关地址网络掩码或前缀目录信息VMware Identity Manager支持与 Active Directory 或 LDAP 目录相集成。表 2‑5. Active Directory 域控制器信息清单要收集的信息Active Directory 服务器名称Active Directory 域名基本 DN对于通过 LDAP 访问的 Active Directory，绑定 DN 用户名和密码对于通过集成 Windows 身份验证访问的 Active Directory，域用户（同时属于要安装连接器的 Windows Server 上的管理员组）的用户名和密码列出信息表 2‑6. LDAP 目录服务器信息清单要收集的信息LDAP 目录服务器名称或 IP 地址LDAP 目录服务器端口号基本 DN绑定 DN 用户名和密码用于绑定用户对象、组对象和用户对象的 LDAP 搜索筛选器用于成员资格、对象 UUID 和标识名的 LDAP 属性名称列出信息SSL 证书部署 VMware Identity Manager Connector 后，您可以添加来自证书颁发机构的 SSL 证书。VMware, Inc. 保留所有权利。 12

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)表 2‑7. SSL 证书信息清单要收集的信息SSL 证书私钥列出信息注 对于 Kerberos 身份验证，连接器必须具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。VMware, Inc. 保留所有权利。 13

在 Windows 上安装 VMwareIdentity Manager Connector安装 VMware Identity Manager Connector 包含多个任务。1234在 VMware Identity Manager 控制台中生成激活码。3在满足所有要求的 Windows Server 上下载并运行 VMware Identity Manager Connector 安装程序运行连接器设置向导以激活连接器并设置密码为连接器配置代理设置（如果需要）。本章讨论了以下主题：nnnn为 VMware Identity ManagerConnector 生成激活码运行 VMware Identity Manager Connector 安装程序运行 VMware Identity ManagerConnector 设置向导为 VMware Identity ManagerConnector 配置代理设置为 VMware Identity Manager Connector 生成激活码安装 VMware Identity Manager Connector之前，请登录到 VMware Identity Manager 控制台，并为连接器生成一个激活码。此激活码用于在 VMware Identity Manager服务和 VMware Identity Manager Connector实例之间建立通信。前提条件您具有 VMware Identity Manager服务 URL 和系统域管理员凭据。在云部署中，系统域管理员是在您获取VMware Identity Manager 租户时收到的凭据所属的管理员。在内部部署中，系统域管理员是在您安装 VMwareIdentity Manager 时创建的管理员用户。步骤1234以系统域管理员身份登录到 VMware Identity Manager控制台。单击身份和访问管理选项卡。单击设置。在“连接器”页面上，单击添加连接器。

VMware, Inc. 保留所有权利。 14

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

56输入连接器的名称。单击生成激活码。将在该页上显示激活码。7复制并保存激活码。稍后，在安装连接器后，您需在连接器设置向导中输入该激活码。后续步骤下载并安装 VMware Identity Manager Connector。运行 VMware Identity Manager Connector 安装程序应在满足所有要求的 Windows Server 上运行 VMware Identity Manager Connector 安装程序。前提条件n端口 80、443 和 8443 必须在 Windows Server 上可用。如果其他服务正在使用这些端口，则无法安装VMware Identity Manager Connector。n在以下情况下，Windows Server 必须加入 Active Directory 域，并且您必须以域用户（同时属于要安装连接器的 Windows Server 上的管理员组）身份安装 VMware Identity Manager Connector：nn如果打算连接到通过集成 Windows 身份验证访问的 Active Directory如果打算使用 Kerberos 身份验证在这些情况下，您还必须选择以域用户身份运行 IDM Connector 服务。此选项显示在安装向导中。VMware, Inc. 保留所有权利。 15

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)n要使安装程序能够在安装期间浏览到并验证域和用户，必须满足以下要求。nWindows Server 必须加入域。注 仅当您需要选择域用户来运行 IDM Connector 服务时，才需要执行此操作。有关该要求适用的场景，请参阅先决条件中所列的上一项。nnnnn可能需要启用并运行计算机浏览器服务以浏览域。必须启用 NetBIOS over TCP/IP。应该在网络上配置主浏览器系统。应该在网络上启用广播流量。如果将嵌入式连接器迁移到单独的连接器，或者将 Linux 连接器迁移到 Windows 连接器，请在运行安装程序之前从原始部署中生成一个配置文件。该文件包含有关原始连接器的配置信息。有关迁移过程的信息，请参阅《升级到 VMware Identity Manager 19.03》。步骤1下载适用于 Windows 的 VMware Identity Manager Connector 安装程序。您可以从 My VMware 的 VMware Identity Manager 产品页面或从 My Workspace ONE 中下载安装程序。2双击安装程序文件以运行 VMware Identity Manager Connector 安装向导。

3在“欢迎”页上，单击下一步。安装程序将验证服务器上的先决条件。如果未安装 .NET Framework，系统将提示您进行安装并重新启动服务器。在重新启动后，再次运行安装程序以继续执行安装过程。如果安装了以前的版本，安装程序会自动检测该版本，并提供升级到最新版本的选项。VMware, Inc. 保留所有权利。 16

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)4阅读并接受“VMware 最终用户许可协议”，然后单击下一步。

5选择安装 VMware Identity Manager Connector 的目标文件夹。默认情况下将选择 C:VMware。

6如果 Windows Server 上尚未安装最新的 Java Runtime Environment (JRE™) 主要版本，将显示以下弹出窗口。

VMware, Inc. 保留所有权利。 17

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

单击是以安装 JRE。安装过程需要几分钟时间。在安装所需的版本时，不会删除现有的 JRE 版本。7在“VMware Identity Manager 配置”页中，输入连接器的主机名和端口。将主机名指定为完全限定域名 (Fully-Qualified Domain Name, FQDN)。例如，。注 名称应与服务器加入的域匹配（如果适用）。默认端口是 443。VMware Identity Manager Connector 仅支持 443。

8在“VMware Identity Manager Connector 服务帐户”页中，如果要以域用户帐户身份运行连接器服务，请选择该选项并输入域用户帐户的用户名和密码。在以下情况下，您必须以域用户身份运行该服务：nn如果打算连接到通过集成 Windows 身份验证访问的 Active Directory如果打算使用 Kerberos 身份验证

VMware, Inc. 保留所有权利。 18

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

注 如果在单击浏览时找不到域或用户，请验证是否满足所有先决条件。9单击下一步。10根据您是安装新连接器还是迁移连接器，选择相应的选项。nn如果安装新连接器，请取消选择是否要迁移连接器? 选项，然后单击下一步。如果将嵌入式连接器迁移到单独的连接器，或者将 Linux 连接器迁移到 Windows 连接器，请执行以下步骤。abc选中是否要迁移连接器? 复选框。在配置包 (.enc) 文本框中，输入从原始部署中生成的配置文件的路径。输入在创建配置文件时为其设置的密码。

VMware, Inc. 保留所有权利。 19

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

11单击下一步。12在“准备安装程序”页中，单击安装。

安装过程需要几分钟时间。13当显示“安装向导已完成”页时，单击完成。此时会显示以下弹出窗口，其中列出了要完成连接器的设置向导需转到的 URL。

VMware, Inc. 保留所有权利。 20

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

该 URL 指向连接器管理页面，网址为 connectorhostname:8443。后续步骤转到所列的 URL 并完成连接器的设置向导。运行 VMware Identity Manager Connector 设置向导安装 VMware Identity Manager Connector 后，请转到安装向导的确认页面上列出的 URL(connectorhostname:8443)，并完成连接器设置向导。在设置向导中，您需要输入连接器激活码并设置密码。前提条件n您具有在 VMware Identity Manager 控制台中生成的连接器激活码。请参阅为 VMware IdentityManagerConnector 生成激活码。n请勿在增强安全模式下使用 Internet Explorer 运行设置向导。必须在浏览器上启用脚本。VMware, Inc. 保留所有权利。 21

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤1打开浏览器窗口并转到 URL connectorhostname:8443。例如，:8443。此时会显示“欢迎”页。

2单击继续。3在“设置密码”页中，为连接器管理员用户创建一个密码，该密码将用于访问连接器管理页面。然后，单击继续。

4在“激活连接器”页中，输入连接器激活码，然后单击继续。

VMware, Inc. 保留所有权利。 22

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

在成功激活连接器后，将显示“设置已完成”消息。VMware Identity Manager Connector安装现已完成。后续步骤nn为 VMware Identity Manager Connector配置代理设置（如果需要）。登录到 VMware Identity Manager 控制台以配置连接器。为 VMware Identity Manager Connector 配置代理设置VMware Identity Manager Connector访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供Internet 访问，则必须在 VMware Identity Manager Connector上调整代理设置。注 使代理仅处理 Internet 流量。为确保代理设置正确，请在域中将用于内部流量的参数设置为 no-proxy。步骤1使用浏览器转到 VMware Identity Manager Connector管理页面，网址为 connectorhostname:8443/cfg/login。2345使用连接器管理员用户密码登录。单击代理配置。选择启用。在带有端口的代理主机文本框中，输入代理服务器主机名称和端口。例如：:3128。6在非代理主机字段中，输入连接器不通过代理服务器即可访问的主机。使用逗号分隔一组主机名。7单击保存。VMware, Inc. 保留所有权利。 23

配置 VMware Identity ManagerConnector4安装 VMware Identity Manager Connector 后，请登录到 VMware Identity Manager 控制台并完成配置。此过程包括设置一个目录以将用户和组同步到 VMware Identity Manager 服务、配置要使用的身份验证方法，以及为 VMware Identity Manager Connector 启用出站模式。本章讨论了以下主题：nnn设置目录在 VMware Identity ManagerConnector 上启用身份验证适配器为 VMware Identity ManagerConnector 启用出站模式设置目录安装并激活 VMware Identity Manager Connector后，在 VMware Identity Manager 控制台中添加一个目录，并与企业目录建立连接以将用户和组同步到该服务。VMware Identity Manager支持集成以下类型的目录。nnn通过 LDAP 访问的 Active Directory通过集成 Windows 身份验证访问的 Active DirectoryLDAP 目录在设置目录之前，请参阅《将目录与 VMware Identity Manager 集成》以了解详细信息。此处简要列出了这些任务。前提条件先决条件取决于要集成的目录类型。请参阅《将目录与 VMware Identity Manager 集成》以了解相关信息。步骤1登录到 VMware Identity Manager控制台。提示 也可以单击在激活连接器后显示的“设置已完成”页中的登录到管理控制台链接以转到管理控制台。VMware, Inc. 保留所有权利。 24

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)2选择要同步到该目录的用户属性。ab单击身份和访问管理选项卡，然后单击设置。在用户属性选项卡中，选择所需的属性并根据需要添加额外的属性。如果将某个属性标记为“必需”，则只有具备该属性的用户才会被同步到服务。重要 请注意以下限制。nn在创建目录后，您无法将属性从可选更改为必需。您必须现在选择这些属性。“用户属性”页面中的设置适用于服务中的所有目录。在将某个属性指定为必需属性时，请考虑对其他目录的影响。345单击管理。单击添加目录，然后选择要添加的目录类型。按照向导中的说明输入目录配置信息，选择要同步的组和用户，然后将用户同步到VMware Identity Manager服务。请参阅《将目录与 VMware Identity Manager 集成》以了解相关信息。后续步骤单击用户和组选项卡并验证是否同步了用户。在 VMware Identity Manager Connector 上启用身份验证适配器VMware Identity Manager Connector可以在出站模式下使用一些身份验证适配器，其中包括PasswordIdpAdapter、RSAAIdpAdapter、SecurIDAdapter 和 RadiusAuthAdapter。请配置并启用要使用的适配器。如果已经创建了目录，则将自动为其启用密码身份验证方法。将使用为该目录提供的信息配置PasswordIdpAdapter。步骤12在 VMware Identity Manager控制台中，单击身份和访问管理选项卡。单击设置，然后单击连接器选项卡。将列出您部署的连接器。34单击工作线程列中的链接。单击身份验证适配器选项卡。将列出连接器的所有可用身份验证适配器。如果已设置一个目录，则已使用在创建该目录时指定的配置信息配置并启用 PasswordIdpAdapter。5单击要使用的每个身份验证适配器的链接，并输入配置信息以配置并启用该适配器。您必须启用至少一个身份验证适配器。有关配置特定身份验证适配器的信息，请参阅《VMware Identity Manager 管理指南》。VMware, Inc. 保留所有权利。 25

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)例如：为 VMware Identity Manager Connector 启用出站模式要为 VMware Identity Manager Connector启用仅出站连接模式，请将连接器与内置身份提供程序相关联。VMware, Inc. 保留所有权利。 26

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)默认情况下，在VMware Identity Manager服务中提供了内置身份提供程序，它提供了额外的内置身份验证方法（如 VMware Verify）。有关内置身份提供程序的信息，请参阅《VMware Identity Manager 管理指南》。注 可以同时在出站和常规模式下使用连接器。即使启用出站模式，您仍然可以使用身份验证方法和策略为内部用户配置 Kerberos 身份验证。步骤1234在 VMware Identity Manager控制台中，选择身份和访问管理选项卡，然后单击管理。单击身份提供程序选项卡。单击内置链接。输入以下信息。选项用户网络连接器描述选择将使用内置身份提供程序的目录或域。选择将使用内置身份提供程序的网络范围。选择您设置的连接器，然后单击添加连接器。注 以后，在添加额外的连接器以实现高可用性时，请在此处选择并添加所有连接器以将其与内置身份提供程序相关联。VMware Identity Manager 自动在与内置身份提供程序关联的所有连接器之间分配流量。不需要使用负载平衡器。连接器身份验证方法列出了为连接器启用的身份验证方法。选择要使用的身份验证方法。PasswordIdpAdapter（在创建目录时自动配置并启用的适配器）在该页中显示为密码 (云部署)，这表示在出站模式下将其与连接器一起使用。

例如：VMware, Inc. 保留所有权利。 27

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)56单击保存以保存内置身份提供程序配置。编辑策略以使用启用的身份验证方法。abcde在身份和访问管理选项卡中，单击管理。单击策略选项卡，然后单击要编辑的策略。单击编辑。在向导的配置页中，编辑规则。选择要用于每个规则的身份验证方法。保存更改。有关配置策略的详细信息，请参阅《VMware Identity Manager 管理指南》。VMware, Inc. 保留所有权利。 28

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)现已启用连接器的出站模式。在用户使用在内置身份提供程序页面中为连接器启用的某种身份验证方法登录时，不需要使用到连接器的 HTTP 重定向。VMware, Inc. 保留所有权利。 29

为 VMware Identity ManagerConnector 配置高可用性中的一个连接器实例由于任何原因变得不可用，其他实例仍然可用。要创建群集，请安装新的连接器实例，并按照与设置第一个连接器完全相同的方式配置这些实例。5您可以在群集中添加多个连接器实例，以便为 VMware Identity Manager Connector 设置高可用性。如果其然后，您可以将所有连接器实例与内置身份提供程序相关联。VMware Identity Manager 服务自动在与内置身份提供程序关联的所有连接器之间分配流量。不需要使用负载平衡器。例如，如果其中的一个连接器由于网络问题变得不可用，则该服务不会将流量传送到该连接器。在恢复连接后，该服务恢复向该连接器发送流量。在设置连接器群集并将所有连接器与内置标识提供程序关联后，您在连接器上启用的身份验证方法将具有高可用性。如果其中的一个连接器实例不可用，身份验证仍然可用。要为目录同步设置高可用性，您可以将所有连接器实例与目录相关联，然后为目录设置一个“同步连接器”列表。“同步连接器”列表中的连接器按故障切换顺序排列。VMware Identity Manager 服务使用列表中的第一个连接器进行目录同步。如果第一个连接器不可用，则使用第二个连接器，依此类推。“同步连接器”列表是从每个目录的“同步设置”页面中设置的。注 本节不适用于 Kerberos 身份验证的高可用性。请参阅第 6 章，将 Kerberos 身份验证支持添加到 VMwareIdentity ManagerConnector 部署。本章讨论了以下主题：nnn安装并配置其他 VMware Identity ManagerConnector 实例为身份验证配置高可用性为目录同步配置高可用性安装并配置其他 VMware Identity Manager Connector 实例在安装并配置第一个 VMware Identity Manager Connector实例后，您可以按照与第一个连接器实例完全相同的方式安装并配置新连接器实例以添加额外的连接器，从而实现高可用性。重要 必须针对与第一个连接器实例相同的 VMware Identity Manager服务激活新连接器实例。前提条件您已安装并配置第一个连接器实例。VMware, Inc. 保留所有权利。 30

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤1根据第 3 章，在 Windows 上安装 VMware Identity Manager Connector安装并配置新的 VMware IdentityManager Connector 实例。2将新 VMware Identity Manager Connector与第一个连接器实例的 WorkspaceIDP 相关联。a在 VMware Identity Manager管理控制台中，选择身份和访问管理选项卡，然后选择身份提供程序选项卡。bcde在“身份提供程序”页中，找到第一个连接器实例的 WorkspaceIDP 并单击该链接。在连接器字段中，选择新连接器。输入绑定 DN 密码，然后单击添加连接器。单击保存。3在新连接器上配置并启用身份验证适配器。重要 必须按完全相同的方式配置群集中的所有连接器上的身份验证适配器。必须在所有连接器上启用相同的身份验证方法。abc在身份和访问管理选项卡中，单击设置，然后单击连接器选项卡。单击新连接器的工作线程列中的链接。单击身份验证适配器选项卡。将列出连接器的所有可用身份验证适配器。已配置并启用 PasswordIdpAdapter，因为已将新连接器与第一个连接器的关联目录相关联。d使用与第一个连接器相同的方式配置并启用其他身份验证适配器。确保配置信息是完全相同的。有关配置身份验证适配器的信息，请参阅《VMware Identity Manager 管理指南》。后续步骤为身份验证配置高可用性为身份验证配置高可用性在部署并配置新的 VMware Identity Manager Connector 实例后，可以将新实例添加到内置身份提供程序中，然后启用在第一个连接器实例上启用的相同身份验证方法，以便为身份验证配置高可用性。VMware Identity Manager 自动在与内置身份提供程序关联的所有连接器之间分配流量。前提条件您已安装并配置额外的连接器实例。请参阅安装并配置其他 VMware Identity ManagerConnector 实例。步骤12在 VMware Identity Manager 管理控制台的身份和访问管理选项卡中，单击管理。单击身份提供程序选项卡。VMware, Inc. 保留所有权利。 31

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)345单击内置链接。在连接器字段中，从下拉列表中选择新连接器，然后单击添加连接器。在连接器身份验证方法部分中，启用为第一个连接器启用的相同身份验证方法。将自动配置并启用密码（云部署）身份验证方法。您必须启用其他身份验证方法。重要 必须按完全相同的方式配置群集中的所有连接器上的身份验证适配器。必须在所有连接器上启用相同的身份验证方法。有关配置特定身份验证适配器的信息，请参阅《VMware Identity Manager 管理》。6单击保存以保存内置身份提供程序配置。为目录同步配置高可用性要为目录同步配置高可用性，在安装额外的连接器实例后，您可以将其与第一个连接器实例的关联目录相关联。然后，为目录设置一个“同步连接器”列表。“同步连接器”列表中的连接器按故障切换顺序排列。VMware Identity Manager 服务使用列表中的第一个连接器同步目录的用户和组。如果第一个连接器不可用，则使用列表中的下一个连接器，依此类推。每个目录具有自己的“同步连接器”列表。最佳做法是，以某种方式设置您的部署，以使同一连接器不会同时同步多个目录。您可以使用以下策略。nnn将一组不同的连接器用于不同的目录。如果使用一组的相同连接器具有相同的故障切换顺序，请计划在不同时间为每个目录执行同步。如果将一组相同的连接器用于多个目录，请为每个目录设置不同的故障切换顺序，以便同步不会回退到相同的连接器。从 VMware Identity Manager 19.03 内部部署版本和 2019 年 4 月云部署版本开始，将提供该功能。要使用该功能，请将所有连接器升级到 19.03.0.0 版本，然后按照以下过程设置“同步连接器”列表。请考虑以下情况。n对于现有目录，“同步连接器”列表是空的。在配置“同步连接器”列表之前，继续使用最初为目录配置的连接器进行同步；如果连接器失败，则无法进行回退。在升级的环境或新环境中创建的新目录将在“同步连接器”列表中列出一个连接器。该连接器是您在创建目录时选择作为同步连接器的连接器。n前提条件nn您已安装并配置额外的连接器实例。请参阅安装并配置其他 VMware Identity ManagerConnector 实例。与该服务关联的所有连接器必须为 19.03.0.0 或更高版本。如果任何连接器为旧版本，则不会在目录的“同步设置”页面中显示“同步连接器”选项卡。VMware, Inc. 保留所有权利。 32

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤1将新连接器实例与第一个连接器实例的关联目录的 Workspace IDP 相关联。abcd在 VMware Identity Manager 控制台中，单击身份和访问管理选项卡，然后单击设置。在“连接器”页面上，找到您最先安装的连接器实例。在该行中，单击要配置高可用性的目录的“身份提供程序”列中的 WorkspaceIDP 链接。在 WorkspaceIDP 页面上，滚动到连接器部分，从下拉菜单中选择每个新的连接器实例，然后单击添加连接器。e单击保存。23456单击设置以返回到“连接器”页面。在“连接器”页面上，单击关联的目录列中的目录链接以转到目录页面。单击同步设置。单击同步连接器选项卡。选择用于同步该目录的用户和组的连接器实例。a从选择连接器列表（显示添加到该服务的所有连接器）中，选择一个连接器，然后单击 + 图标。该连接器将添加到同步连接器列表中。bc将要用于同步的所有连接器添加到同步连接器列表中。在同步连接器列表中，使用上下箭头键按故障切换顺序排列连接器。要执行目录同步，VMware Identity Manager 尝试使用列表中的第一个连接器。如果第一个连接器不可用，则尝试使用第二个连接器，依此类推。例如：

7单击保存。VMware, Inc. 保留所有权利。 33

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)将保存目录的“同步连接器”列表，并从下次同步开始应用该列表。您可以在目录页面的同步日志选项卡中查看用于同步的连接器。例如：

VMware, Inc. 保留所有权利。 34

将 Kerberos 身份验证支持添加到VMware Identity ManagerConnector 部署6您可以将内部用户的 Kerberos 身份验证（需要使用入站连接模式）添加到所部署的出站连接模式连接器中。可以将相同的连接器配置为对来自内部网络的用户使用 Kerberos 身份验证，对来自外部网络的用户使用其他身份验证方法。可以根据网络范围定义身份验证策略以实现该目的。下图描述了内部 VMware Identity Manager部署中的 Kerberos 身份验证。图 6‑1. Kerberos 身份验证内部部署DMZ企业网络443443443443VMware IdentityManager

Connector 1VMware IdentityManager服务器 负载平衡器443VMware IdentityManager

Connector 2Kerberos 身份验证的要求和注意事项包括：n无论您在 VMware Identity Manager 中设置的目录类型是通过 LDAP 访问的 Active Directory 还是通过集成 Windows 身份验证访问的 Active Directory，都可以配置 Kerberos 身份验证。nn安装了 VMware Identity ManagerConnector 的 Windows 计算机必须加入 Active Directory 域。您必须在 Windows 计算机上以域用户（属于安装连接器的 Windows 计算机上的管理员组）身份安装了VMware Identity Manager Connector，并且正在以 Windows 域用户身份运行 VMware IDM Connector服务。n确保为连接器选择适当的用户友好主机名。配置 Kerberos 身份验证后，最终用户可以看到 VMwareIdentity Manager Connector 主机名。VMware, Inc. 保留所有权利。 35

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)n配置了 Kerberos 身份验证的每个连接器都必须具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。无论您是在单个连接器上启用 Kerberos，还是在多个连接器上为实现高可用性而启用 Kerberos，都需要受信任的 SSL 证书。n要为 Kerberos 身份验证设置高可用性，需要使用负载平衡器。本章讨论了以下主题：nn配置和启用 Kerberos 身份验证适配器为 Kerberos 身份验证配置高可用性配置和启用 Kerberos 身份验证适配器在VMware Identity Manager Connector上配置并启用 KerberosIdpAdapter。如果已部署一个群集以实现高可用性，请在群集中的所有连接器上配置并启用该适配器。重要 必须按完全相同的方式配置群集中的所有连接器上的身份验证适配器。必须在所有连接器上配置相同的身份验证方法。在配置 Kerberos 身份验证适配器时，VMware Identity ManagerConnector 尝试自动初始化 Kerberos。如果未使用足够的权限运行 VMware IDM Connector 服务以初始化 Kerberos，则会显示一条错误消息。在这种情况下，请按照/kb/2149753中的说明运行脚本以初始化 Kerberos。有关配置 Kerberos 身份验证的详细信息，请参阅《VMware Identity Manager 管理指南》。前提条件nn安装了 VMware Identity ManagerConnector 的 Windows 计算机必须加入域。您必须在 Windows 计算机上以域用户（属于安装连接器的 Windows 计算机上的管理员组）身份安装了VMware Identity Manager Connector，并且正在以 Windows 域用户身份运行 VMware IDM Connector服务。步骤12在 VMware Identity Manager管理控制台中，单击身份和访问管理选项卡。单击设置，然后单击连接器选项卡。将列出您部署的所有连接器。345单击某个连接器的工作线程列中的链接。单击身份验证适配器选项卡。单击 KerberosIdpAdapter 链接，然后配置并启用该适配器。选项名称目录 UID 属性描述该适配器的默认名称为 KerberosIdpAdapter。您可以对此名称进行更改。包含用户名的帐户属性。VMware, Inc. 保留所有权利。 36

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)选项启用 Windows 身份验证启用重定向描述选择此选项。如果在群集中具有多个连接器，并且打算使用负载平衡器以设置 Kerberos 高可用性，请选择该选项并为重定向主机名指定一个值。如果您的部署只有一个连接器，则不需要使用启用重定向和重定向主机名选项。重定向主机名如果已选择启用重定向选项，则需要指定一个值。输入连接器自己的主机名。例如，如果连接器的主机名是 ，请在文本框中输入。

例如：有关配置 KerberosIdPAdapter 的详细信息，请参阅《VMware Identity Manager 管理指南》。6单击保存。注 如果您收到指示 Kerberos 初始化失败的错误，请参阅Kerberos 初始化错误。运行脚本后，请返回到此页面并配置适配器。7如果已部署一个群集，请在群集中的所有连接器上配置 KerberosIdPAdapter。请确保在所有连接器上对适配器进行相同的配置，“重定向主机名”值除外，该值对于每个连接器应当都是特定的。后续步骤n确保启用了 KerberosIdpAdapter 的每个连接器均具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。无论您是在单个连接器上启用 Kerberos，还是在多个连接器上为实现高可用性而启用 Kerberos，都需要受信任的 SSL 证书。n如有必要，请为 Kerberos 身份验证设置高可用性。如果没有负载平衡器，则 Kerberos 身份验证不具有高可用性。VMware, Inc. 保留所有权利。 37

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)为 Kerberos 身份验证配置高可用性要为 Kerberos 身份验证配置高可用性，请在防火墙内的内部网络中安装负载平衡器并在其中添加 VMwareIdentity Manager Connector 实例。您还必须在负载平衡器上配置某些设置，在负载平衡器和连接器实例之间建立 SSL 信任关系，以及更改连接器身份验证 URL 以使用负载平衡器主机名。配置负载平衡器设置您必须在负载平衡器上配置某些设置，例如正确设置负载平衡器超时以及启用粘性会话。配置这些设置。n负载平衡器超时要使 VMware Identity Manager Connector 正常工作，您可能需要延长负载平衡器的请求超时时间，而不采用默认值。该值以分钟为单位。如果超时设置太低，您可能会看到以下错误。502 错误：此服务当前不可用 (502 error: The service is currently unavailable)n启用粘性会话如果您的部署具有多个连接器实例，则必须在负载平衡器上启用粘性会话设置。之后，负载平衡器会将用户的会话绑定到特定的连接器实例。将 VMware Identity Manager Connector 根证书应用于负载平衡器如果在负载平衡器后面配置VMware Identity Manager Connector，您必须在该负载平衡器和连接器之间建立 SSL 信任关系。必须将 连接器根证书作为受信任的根证书复制到负载平衡器中。可以从连接器管理页面 (connectorFQDN:8443/cfg/ssl) 中下载 VMware Identity Manager Connector证书。如果连接器域名指向负载平衡器，则 SSL 证书只能应用于负载平衡器。步骤123以管理员用户身份登录到管理页面 (connectorFQDN:8443/cfg/login)。选择安装 SSL 证书。在服务器证书选项卡中，单击设备自签名根 CA 证书字段中的链接。

VMware, Inc. 保留所有权利。 38

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)

4复制根证书的 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE---- 之间的所有内容（包括这两行），并将其粘贴到每个负载平衡器上的正确位置。请参阅负载平衡器文档。后续步骤将负载平衡器根证书复制并粘贴到 VMware Identity Manager Connector中。将负载平衡器根证书应用于 VMware Identity Manager Connector如果在负载平衡器后面配置VMware Identity Manager Connector，您必须在该负载平衡器和连接器之间建立信任关系。除了将连接器根证书复制到负载平衡器之外，您还必须将负载平衡器根证书复制到连接器。步骤12获取负载平衡器根证书。转到 VMware Identity Manager Connector管理页面 (connectorFQDN:8443/cfg/login)，然后以管理员用户身份登录。3选择安装 SSL 证书 > 受信任的 CA 选项卡。VMware, Inc. 保留所有权利。 39

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)4将负载平衡器证书的文本粘贴到根证书或中间证书文本框中。5单击添加。将连接器 IdP 主机名更改为负载平衡器主机名在将 VMware Identity Manager Connector 实例添加到负载平衡器后，您必须将每个连接器的 WorkspaceIdP 上的 IdP 主机名更改为负载平衡器主机名。前提条件在负载平衡器后面配置了连接器实例。确保负载平衡器端口为 443。不要使用 8443，因为该端口号是管理端口。步骤12345登录到 VMware Identity Manager 管理控制台。单击身份和访问管理选项卡。单击身份提供程序选项卡。在“身份提供程序”页中，单击连接器实例的 Workspace IdP 链接。在 IdP 主机名文本框中，将主机名从连接器主机名更改为负载平衡器主机名。例如，如果连接器主机名为 myconnector，负载平衡器主机名为 mylb，请将 :portVMware, Inc. 保留所有权利。 40

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)更改为：:portVMware, Inc. 保留所有权利。 41

其他 VMware Identity ManagerConnector 设置如安装证书、管理密码以及下载日志文件。7初始 VMware Identity Manager Connector 配置完成后，您可以随时转到连接器管理页面来执行各种任务，VMware Identity Manager Connector 管理页面位于 connectorFQDN:8443/cfg/login 中，例如，:8443/cfg/login。请以连接器管理员用户身份使用在安装连接器时创建的相应密码登录。表 7‑1. 连接器设置选项安装 SSL 证书描述在该页上的选项卡中，您可以为连接器安装 SSL 证书，下载自签名根证书以及安装受信任的根证书。配置 Syslog如果要将连接器日志发送到外部服务器，您可以在该页中启用外部 syslog 服务器。在该页中，您可以更改连接器管理员密码。在该页中，您可以为连接器配置代理设置。在该页中，您可以创建和下载连接器日志文件包。更改密码代理配置日志文件位置本章讨论了以下主题：nnnnnn将 SSL 证书用于 VMware Identity ManagerConnector为 VMware Identity ManagerConnector 配置 Syslog 服务器管理 VMware Identity Manager Connector 密码为 VMware Identity ManagerConnector 配置代理设置查看和下载 VMware Identity ManagerConnector 日志文件为 VMware Identity Manager Connector (Windows) 配置时间同步将 SSL 证书用于 VMware Identity Manager Connector在安装VMware Identity ManagerConnector 时，将自动生成一个默认的自签名 SSL 服务器证书。在大多数场景中，您可以继续使用此自签名证书。使用在出站模式下部署的连接器时，最终用户不会直接访问连接器，因此不需要安装公共证书颁发机构(Certificate Authority, CA) 签名的 SSL 证书。对于管理员进行的连接器访问，您可以继续使用默认的自签名证书，也可以使用由内部 CA 生成的证书。VMware, Inc. 保留所有权利。 42

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)但是，如果您在连接器中启用 KerberosIdpAdapter 来为内部用户设置 Kerberos 身份验证，则最终用户将建立与连接器的 SSL 连接，这样，连接器必须具有一个签名的 SSL 证书。可使用内部 CA 生成该 SSL 证书。如果您为 Kerberos 身份验证设置高可用性，则需要在连接器实例前面使用负载平衡器。在这种情况下，负载平衡器以及所有连接器实例都必须具有签名的 SSL 证书。可使用内部 CA 生成这些 SSL 证书。对于负载平衡器证书，需使用在 Workspace IdP 配置页面中设置的 Workspace IdP 主机名作为主体 DN 公用名称。对于每个连接器实例证书，需使用连接器主机名作为主体 DN 公用名称。或者，您也可以创建单个证书，使用 Workspace IdP 主机名作为主体 DN 公用名称，并使用所有连接器主机名以及 Workspace IdP 主机名作为主体备用名称 (Subject Alternative Name, SAN)。为连接器安装签名的 SSL 证书您可以从连接器管理页面（网址为 connectorFQDN:8443/cfg/login）为 VMware Identity ManagerConnector 安装签名的 SSL 证书。有关需要使用签名的 SSL 证书的场景，请参阅将 SSL 证书用于 VMware Identity ManagerConnector。前提条件生成一个证书签名请求 (Certificate Signing Request, CSR) 并获取签名的 SSL 证书。证书必须采用 PEM 格式。步骤1234以管理员用户身份登录到连接器管理页面（网址为 connectorFQDN:8443/cfg/login）。单击安装 SSL 证书。在服务器证书选项卡中，为 SSL 证书字段选择自定义证书。在 SSL 证书链文本框中，依次粘贴服务器证书、中间证书和根证书。您必须按正确的顺序包含整个证书链。对于每个证书，请复制 -----BEGIN CERTIFICATE----- 和 -----ENDCERTIFICATE----- 之间的所有内容（包括这两行）。5在私钥文本框中，粘贴私钥。复制“-----RSA 私钥开始-----”与“-----RSA 私钥结束-----”之间的所有内容。6单击添加。示例：证书示例证书链示例-----BEGIN CERTIFICATE-----jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+...W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1-----END CERTIFICATE----------BEGIN CERTIFICATE-----VMware, Inc. 保留所有权利。 43

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)证书链示例WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+...O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1-----END CERTIFICATE----------BEGIN CERTIFICATE-----dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+...5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1-----END CERTIFICATE-----私钥示例-----BEGIN RSA PRIVATE KEY-----jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1-----END RSA PRIVATE KEY-----下载连接器自签名根 CA 证书如果您使用安装连接器时默认生成的自签名 SSL 证书部署连接器，则需在任何访问连接器的客户端上安装连接器的自签名根 CA 证书。可以从 VMware Identity Manager 管理控制台中下载该根 CA 证书。步骤1以管理员用户身份登录到 VMware Identity Manager Connector 管理页面（网址为connectorFQDN:8443/cfg/login）。23单击安装 SSL 证书。在服务器证书选项卡中，单击设备自签名根 CA 证书字段中的链接。此时会显示这些证书。4复制整个文本，包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 行。在连接器上安装受信任的根证书安装 VMware Identity Manager Connector 应信任的根证书或中间证书。该连接器将能够与证书链包含其中的任何证书的服务器建立安全连接。您需要在连接器上安装受信任的根证书的场景包括：n如果您已设置负载平衡器来实现 Kerberos 身份验证的高可用性，则需在连接器实例上安装负载平衡器的根 CA 证书，以便在连接器和负载平衡器之间建立信任关系。VMware, Inc. 保留所有权利。 44

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤123以管理员用户身份登录到连接器管理页面（网址为 connectorFQDN:8443/cfg/login）。单击安装 SSL 证书，然后选择受信任的 CA 选项卡。将根证书或中间证书粘贴到文本框中。请包含 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的所有内容（包括这两行）。4单击添加。为 VMware Identity Manager Connector 配置 Syslog 服务器可以将该服务中的应用程序级别事件导出到外部 syslog 服务器。不会导出操作系统事件。由于大多数公司的磁盘空间有限，因此虚拟设备不会保存完整的日志历史记录。若想保存更多的历史记录，或者希望创建一个集中位置来存储日志历史记录，那么可以设置一个外部 syslog 服务器。前提条件n设置外部 syslog 服务器。可以使用任何可用的标准 syslog 服务器。一些 syslog 服务器包含高级搜索功能。n确保连接器可以通过端口 514 (UDP) 访问 syslog 服务器。步骤12345以管理员用户身份登录到连接器管理页面（网址为 connectorFQDN:8443/cfg/login）。在左侧窗格中选择配置 Syslog。单击启用。输入要在其中存储日志的 syslog 服务器的 IP 地址或 FQDN。单击保存。您的日志的副本将发送到 syslog 服务器。管理 VMware Identity Manager Connector 密码在安装 VMware Identity Manager Connector 时，将为管理员用户创建一个密码。您可以从连接器管理页面中更改该密码。重要 请确保创建强密码。强密码应该至少为八个字符，同时包含大写和小写字母，并且至少包含一个数字或特殊字符。步骤12以管理员用户身份登录到连接器管理页面（网址为 connectorFQDN:8443/cfg/login）。单击更改密码。VMware, Inc. 保留所有权利。 45

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)3输入旧密码和新密码。重要 管理员用户密码长度必须至少为 6 个字符。4单击保存。为 VMware Identity Manager Connector 配置代理设置VMware Identity Manager Connector访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供Internet 访问，则必须在 VMware Identity Manager Connector上调整代理设置。注 使代理仅处理 Internet 流量。为确保代理设置正确，请在域中将用于内部流量的参数设置为 no-proxy。步骤1使用浏览器转到 VMware Identity Manager Connector管理页面，网址为 connectorhostname:8443/cfg/login。2345使用连接器管理员用户密码登录。单击代理配置。选择启用。在带有端口的代理主机文本框中，输入代理服务器主机名称和端口。例如：:3128。6在非代理主机字段中，输入连接器不通过代理服务器即可访问的主机。使用逗号分隔一组主机名。7单击保存。查看和下载 VMware Identity Manager Connector 日志文件VMware Identity Manager Connector日志文件可以帮助您调试和解决问题。可以在InstallDirectoryVMware Identity ManagerConnectoroptvmwarehorizonworkspacelogs目录中找到这些日志文件。以下日志文件是最密切相关的。VMware, Inc. 保留所有权利。 46

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)表 7‑2. 日志文件组件Configurator 日志Windows 上的日志文件位置InstallDirectoryVMwareIdtallDirectoryVMwartallDirectoryVMwareIdentityche Tomcat日志InstallDirectoryVMwa描述Configurator 从 REST 客户端和 Web 界面所接收的请求。连接器日志从 Web 界面收到的每个请求的记录。每个日志条目中还包含请求 URL、时间戳和异常情况。不记录同步操作。与目录同步有关的消息。Apache Tomcat 会记录其他日志文件未记录的消息。也可以从VMware Identity Manager Connector管理页面（网址为 connectorhostname:8443/cfg/login）中下载日志文件包。以管理员用户身份登录，然后单击日志文件位置。下载日志包您可以从连接器管理页面中下载 VMware Identity Manager Connector 的日志文件包。这些日志文件可以帮助您调试和解决问题。要从您的环境的每个连接器实例中收集日志，请登录到每个实例的管理页面。步骤1以管理员用户身份登录到 VMware Identity Manager Connector 管理页面 (connectorFQDN:8443/cfg/login)。2单击日志文件位置，然后单击准备日志包。这些信息将收集到一个 zip 文件以进行下载。3下载日志包。将 VMware Identity Manager Connector 日志级别设置为“调试”您可以将日志级别设置为“调试”，以记录可帮助调试问题的额外信息。VMware, Inc. 保留所有权利。 47

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤1在安装了连接器的 Windows Server 上，转到 INSTALL_DIRVMware IdentityManagerConnectorusrlocalhorizonconf 目录。2在 ties 和 ties 文件中更新日志级别，这些是该连接器最常用的 log4j 文件。ab编辑该文件。在将日志级别设置为 INFO的行中，将 DEBUG 替换为 INFO。例如，将=INFO更改为=DEBUGc保存文件。不需要重新启动该服务或系统。为 VMware Identity Manager Connector (Windows) 配置时间同步要使 VMware Identity Manager 部署正常工作，需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。要为 VMware Identity Manager Connector (Windows) 配置时间同步，您可以使用VMware Identity Manager 控制台中的设备设置 > 管理配置 > 时间同步选项卡。您可以将 VMware Identity Manager Connector 时钟与 ESXi 主机或网络时间协议 (Network Time Protocol,NTP) 服务器进行同步。默认情况下，VMware Identity Manager Connector 设置为与主机同步。如果连接器Windows 计算机未在 ESXi 主机上运行，则“主机时间”同步选项不适用，并且您必须选择 NTP 选项或直接在 Windows 计算机上配置时间同步。请遵循以下准则：n如果 VMware Identity Manager Connector 实例可以访问 NTP 服务器，则最好与 NTP 服务器同步时间。否则，与 ESXi 主机之间同步时间，并配置 ESXi 主机以与 NTP 服务器同步时间。注 如果连接器 Windows 计算机未在 ESXi 主机上运行，请选择 NTP 选项或直接在 Windows 计算机上配置时间同步。n如果您的部署在不同的主机上包含 VMware Identity Manager 服务或连接器实例，最好直接与 NTP 服务器同步时间而不是与主机同步，以确保实例之间没有时间偏差。前提条件如果连接器 Windows 计算机在 ESXi 主机上运行，并且要使用“主机时间”同步选项，请在 Windows 计算机上安装 VMware Tools。VMware, Inc. 保留所有权利。 48

安装和配置 VMware Identity Manager Connector 19.03.0.0 (Windows)步骤123以管理员用户身份登录到连接器管理页面（网址为 connectorFQDN:8443/cfg/login）。在左侧窗格中单击时间同步。选择一个时间同步选项。选项NTP描述将 VMware Identity Manager Connector 系统时钟与 NTP 服务器同步。默认 NTP服务器为 。要使用其他 NTP 服务器，请在 NTP 服务器文本框中输入其完全限定域名 (Fully Qualified Domain Name, FQDN)。例如：主机时间如果适用，将 VMware Identity Manager Connector 系统时钟与 ESXi 主机同步。这是默认设置。

4单击保存。VMware, Inc. 保留所有权利。 49