在 VMware Identity Manager 中初始化 KDC 前,确定 KDC 服务器的领域名称,子域是否在部署中,以及是否使用默认 KDC 服务器证书。

领域

领域是保存身份验证数据的管理实体的名称。为 Kerberos 身份验证领域选择一个描述性名称很重要。领域名称必须是企业可以配置的 DNS 域的一部分。

领域名称和用于访问 VMware Identity Manager 服务的完全限定域名 (FQDN) 是不相关的。企业必须从领域名称和 FQDN 两方面对 DNS 域进行控制。通常的做法是领域名称以大写字母形式输入,和域名保持一致。有时,领域名称和域名不同。例如,领域名称是 EXAMPLE.NET,而 idm.example.com 是 VMware Identity Manager FQDN。在这种情况下,应定义 example.netexample.com 域的 DNS 条目。

领域名称由 Kerberos 客户端用于生成 DNS 名称。例如,当名称是 example.com 时,用于通过 TCP 连接 KDC 的 Kerberos 相关名称是 _kerberos._tcp.EXAMPLE.COM

使用子域

安装在内部部署环境中的 VMware Identity Manager 服务可以使用 VMware Identity Manager FQDN 子域。如果您的 VMware Identity Manager 站点访问多个 DNS 域,请采用以下格式配置域:location1.example.com; location2.example.com; location3.example.com。该例中的子域值是以小写字母形式键入的 example.com。要配置环境中的子域,请与服务支持团队协作完成。

使用 KDC 服务器证书

KDC 初始化后,默认会生成 KDC 服务器证书和自签名根证书。该证书用于颁发 KDC 服务器证书。该根证书包含在设备配置文件中,以便设备可以信任 KDC。

您可以使用企业根证书或中间证书手动生成 KDC 服务器证书。有关该功能的更多详细信息,请联系服务支持团队。

从 VMware Identity Manager 管理控制台下载 KDC 服务器根证书,用于 iOS 设备管理配置文件的 AirWatch 配置。