Установка и настройка HAProxy
HAProxy (High Availability Proxy) — универсальный балансировщик нагрузки с открытым исходным кодом и программное обеспечение прокси-сервера. Его задача — эффективно распределять входящий сетевой трафик между несколькими брокерами для обеспечения высокой доступности, надежности и оптимальной производительности системы.
Для корректной работы системы выберите:
-
алгоритм балансировки с привязкой пользователя к определенному серверу: balance source и hash-type consistent. Подробнее о типах балансировки;
-
уровень балансировки (TCP/HTTP) и режим SSL (SSL Passthrough, SSL Bridging) в зависимости от направления трафика:
-
Балансировка на уровне TCP — используется для внутреннего трафика терминальный сервер/ВРМ — брокер. Передаёт зашифрованный трафик напрямую, без расшифровки (SSL Passthrough).
-
Балансировка на уровне HTTP — применяется для внешнего трафика десктоп-клиент — брокер. Позволяет проверять сертификаты клиентов и добавлять заголовки (SSL Bridging).
-
Проброс пользовательского IP-адреса
Для корректного отображения реального IP-адреса клиента в журнале событий портала администратора необходимо включить проброс IP-адреса на балансировщике нагрузки.
Балансировщик должен передавать исходный IP-адрес клиента на серверы брокеров. В HAProxy это реализуется с помощью директив:
http-request set-header X-Real-IP %[src]
Где:
-
http-request set-header X-Real-IP %[src]— передаёт реальный IP-адрес в заголовок X-Real-IP, который используется системой Termit для отображения в журналах.
|
Если используется другой балансировщик, необходимо настроить аналогичную функцию проброса исходного IP-адреса, чтобы брокеры получали реальный IP-адрес клиента. Эти настройки должны применяться в секции, которая обслуживает клиентский трафик (HTTP/HTTPS). |
Установка и настройка HAProxy
Далее в разделе описано, как установить и настроить балансировщик нагрузки HAProxy для операционных систем: РЕД ОС, Astra Linux, Debian, Alt Linux и OpenSUSE.
РЕД ОС
Для установки используется последняя доступная в репозитории РЕД ОС версия HAProxy. Подробнее о конфигурации — на официальном сайте РЕД ОС.
-
Установите ПО HAProxy с помощью команды:
sudo dnf install haproxy -
Включите службу HAProxy и добавьте автозагрузку с помощью команды:
sudo systemctl enable haproxy --now -
Добавьте в конец файла конфигурации
/etc/haproxy/haproxy.cfgнастройку серверов для балансировки.Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :80 bind :443 ssl crt /etc/haproxy/cert.pem http-request redirect scheme https unless { ssl_fc } http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required frontend termit_8443_https mode tcp bind :8443 default_backend termit_servers_8443_https backend termit_servers_8443_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode tcp balance leastconn server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify noneгде:
-
/etc/haproxy/cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-int-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :443 ssl crt /etc/haproxy/external-lb-cert.pem http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify requiredгде:
-
/etc/haproxy/external-lb-cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-ext-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
-
-
Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
sudo haproxy -f /etc/haproxy/haproxy.cfg -c -
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Разрешите работу в SELinux с помощью команд:
для внутреннего балансировщика
sudo semanage port -m -t http_port_t -p tcp 4443 sudo chcon -t cert_t /etc/haproxy/cert.pem sudo chcon -t cert_t /etc/haproxy/ca-int-broker-merged.pemдля внешнего балансировщика
sudo semanage port -a -t http_port_t -p tcp 10443 sudo semanage port -m -t http_port_t -p tcp 10443 sudo chcon -t cert_t /etc/haproxy/external-lb-cert.pem sudo chcon -t cert_t /etc/haproxy/ca-ext-broker-merged.pem -
Проверьте доступность Termit по URL адресу, указанному при установке брокер серверов.
Astra Linux
Для установки используется последняя доступная в репозитории Astra Linux версия HAProxy. Подробнее о конфигурации — на официальном сайте Astra Linux.
|
Для корректной работы HAProxy на Astra Linux в режимах высокой или максимальной защищенности может понадобится отключение или дополнительная настройка ненулевых классификационных меток. Подробнее о настройке можно ознакомиться на официальном сайте Astra Linux. |
-
Установите ПО HAProxy с помощью команды:
sudo apt install haproxy -
Включите службу HAProxy и добавьте автозагрузку с помощью команды:
sudo systemctl enable haproxy --now -
Добавьте в конец файла конфигурации
/etc/haproxy/haproxy.cfgнастройку серверов для балансировки.Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :80 bind :443 ssl crt /etc/haproxy/cert.pem http-request redirect scheme https unless { ssl_fc } http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required frontend termit_8443_https mode tcp bind :8443 default_backend termit_servers_8443_https backend termit_servers_8443_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode tcp balance leastconn server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify noneгде:
-
/etc/haproxy/cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-int-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :443 ssl crt /etc/haproxy/external-lb-cert.pem http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify requiredгде:
-
/etc/haproxy/external-lb-cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-ext-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
-
-
Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
sudo haproxy -f /etc/haproxy/haproxy.cfg -c -
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Проверьте доступность Termit по URL адресу, указанному при установке брокера.
Debian
-
Установите ПО HAProxy с помощью команды:
sudo systemctl install haproxy -
Включите службу HAProxy и добавьте автозагрузку с помощью команды:
sudo systemctl enable haproxy --now -
Добавьте в конец файла конфигурации
/etc/haproxy/haproxy.cfgнастройку серверов для балансировки.Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :80 bind :443 ssl crt /etc/haproxy/cert.pem http-request redirect scheme https unless { ssl_fc } http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required frontend termit_8443_https mode tcp bind :8443 default_backend termit_servers_8443_https backend termit_servers_8443_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode tcp balance leastconn server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify noneгде:
-
/etc/haproxy/cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-int-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :443 ssl crt /etc/haproxy/external-lb-cert.pem http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify requiredгде:
-
/etc/haproxy/external-lb-cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-ext-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
-
-
Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
sudo haproxy -f /etc/haproxy/haproxy.cfg -c -
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Проверьте доступность Termit по URL адресу, указанному при установке брокера.
ALT Linux
-
Установите ПО HAProxy с помощью команды:
sudo apt-get install haproxy -
Включите службу HAProxy и добавьте автозагрузку с помощью команды:
sudo systemctl enable haproxy --now -
Добавьте в конец файла конфигурации
/etc/haproxy/haproxy.cfgнастройку серверов для балансировки.Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :80 bind :443 ssl crt /etc/haproxy/cert.pem http-request redirect scheme https unless { ssl_fc } http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required frontend termit_8443_https mode tcp bind :8443 default_backend termit_servers_8443_https backend termit_servers_8443_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode tcp balance leastconn server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify noneгде:
-
/etc/haproxy/cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-int-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :443 ssl crt /etc/haproxy/external-lb-cert.pem http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify requiredгде:
-
/etc/haproxy/external-lb-cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-ext-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
-
-
Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
sudo haproxy -f /etc/haproxy/haproxy.cfg -c -
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Проверьте доступность Termit по URL адресу, указанному при установке брокера.
OpenSUSE
-
Установите ПО HAProxy с помощью команды:
sudo zypper install haproxy -
Включите службу HAProxy и добавьте автозагрузку с помощью команды:
sudo systemctl enable haproxy --now -
Добавьте в конец файла конфигурации
/etc/haproxy/haproxy.cfgнастройку серверов для балансировки.Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :80 bind :443 ssl crt /etc/haproxy/cert.pem http-request redirect scheme https unless { ssl_fc } http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required frontend termit_8443_https mode tcp bind :8443 default_backend termit_servers_8443_https backend termit_servers_8443_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode tcp balance leastconn server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify noneгде:
-
/etc/haproxy/cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-int-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
В примере приведен файл конфигурации с типом балансировки Source IP Hash.
frontend termit_https mode http bind :443 ssl crt /etc/haproxy/external-lb-cert.pem http-request set-header X-Real-IP %[src] default_backend termit_servers_https backend termit_servers_https option httpchk http-check connect port 9090 ssl http-check send meth GET uri /_/broker-health mode http balance source hash-type consistent server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify requiredгде:
-
/etc/haproxy/external-lb-cert.pem- объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:-
Сертификат балансировщика (выданный для его доменного имени).
-
Соответствующий закрытый ключ.
-
Корневой сертификат (СА), необходимый для формирования цепочки доверия.
-
-
/etc/haproxy/ca-ext-broker-merged.pem- файл, состоящий из:-
корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;
-
корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).
-
-
-
Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
sudo haproxy -f /etc/haproxy/haproxy.cfg -c -
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Проверьте доступность Termit по URL адресу, указанному при установке брокера.
Передача сертификата клиента для аутентификации по смарт-карте
|
Приведенные настройки передачи клиентского сертификата необходимы только при использовании аутентификации по смарт-карте на брокере или терминальном сервере. Если смарт-карты не применяются, изменять конфигурацию балансировщика нагрузки не требуется. |
Для корректной работы аутентификации пользователей с помощью смарт-карт балансировщик нагрузки должен передавать клиентский сертификат брокеру. Это необходимо, чтобы брокер мог проверить подлинность пользователя и сопоставить его с учётной записью.
Настройки балансировщиков нагрузки для поддержки аутентификации по смарт-карте описаны в разделе.