Piszki Lab

Analiza przypadku w języku przodków…

BIG-IP F5 – Synchronizacja Workspace Portal 2.1 z Horizon View 6

| 0 comments

Jedną z możliwości jakie daje Horizon Workspace Portal, jest możliwość uruchamiania przypisanych stacji roboczych Horizon View bezpośrednio z poziomu portalu (np. w zakładce przeglądarki za pomocą protokołu BLAST). W ten sposób możemy uprościć dostęp do usług (a taką usługą jest też View) dla naszych klientów lub pracowników (szczególnie przy dostępie z zewnątrz naszej organizacji). Ten post jest rozwinięciem i pewnym podsumowaniem tematów opisanych tutaj i tutaj (ich lektura jest oczywiście obowiązkowa). Sam proces jest jak zawsze prosty i wymaga tylko kilku dodatkowych kroków.

workspace_thumb

Balansowanie rozwiązaniem Horizon View wymusza na nas stworzenie nowej domeny w serwerze DNS za pomocą której będziemy się łączyć do środowiska. W trakcie dodawania View POD do Horizon Workspace Portal sprawdzane są uprawnienia serwera View za pomocą Kerberosa. Oczywiście nowa domena View (w moim przypadku: view.pulab.pl) nie ma nic wspólnego z kontem serwera w AD. Próba dodania takiego środowiska View do Workspace Portal zawsze zakończy się niepowodzeniem (Unable to authenticate to View Connection Server):

hp1

Oraz komunikatami w logu :/opt/vmware/horizon/workspace/logs/connector.log:

Unable to authenticate to View Broker: view.pulab.pl. :Client not found in Kerberos database.

GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Server not found in Kerberos database.

Rozwiązaniem tego problemu jest stworzenie rekordu SPN dla View Connection Server (wszystkich będących w puli BIG-IP F5) z parametrem service=ldap, robi się to poleceniem (na dowolnym serwerze będącym członkiem domeny AD, z uprawnieniami Domain Admin):

setspn –A ldap/view.pulab.pl UGVIEWCM1 (oczywiście UGVIEWCM1 to mój server View)

Powyższa komenda jest pierwszym krokiem jaki musimy wykonać, bez tego synchronizacja nie będzie możliwa. Następnym krokiem jest zdefiniowanie autentykacji SAML pomiędzy Horizon Workspace Portal (w moim przypadku: portal.pulab.pl) oraz Horizon View. Robimy to w konsoli administracyjnej View, w ustawieniach każdego Connection Servera:

hp2

W tym momencie możemy przejść do konsoli BIG-IP i zdefiniować dwa nowe wirtualne serwery. Horizon Workspace komunikuje się z View poprzez dwa kolejne porty: 389 i 4001. Tworzymy zatem dwie nowe pule:

hp3

hp4

hp5

hp6

W ostatnim kroku tworzymy dwa nowe wirtualne serwery, zaczynamy od LDAP (SNAT Auto Map i brak profili SSL):

hp7

hp8

Serwer JMS, ustawienia jak wyżej. Generalnie widać, że są to standardowe ustawienia bez żadnych udziwnień:

hp9

hp11

Pełna mapa naszych serwerów biorących udział w loadbalancingu Horizon Workspace Portal i Horizon View:

hp0

W tym momencie mamy wszystko przygotowane do wykonania połączenia, możemy zalogować się do panelu administracyjnego każdego Connector-VA (https://IP:8443/hc/admin/) i w sekcji View Pools dodać nasz serwer:

hp12

W takiej konfiguracji mamy dostęp do portalu z wewnątrz organizacji jak i z zewnątrz (poprzez Internet). W obu przypadkach możemy swobodnie uruchamiać stacje View z poziomu portalu.

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.