在 VMware Identity Manager 中初始化 KDC 后,您必须创建公用 DNS 记录,以便在启用内置 Kerberos 身份验证功能时,Kerberos 客户端可以找到 KDC。

KDC 领域名称用作 VMware Identity Manager 设备条目的 DNS 名称的一部分,这些条目用于发现 KDC 服务。每个 VMware Identity Manager 站点需要使用两个 DNS 记录和两个地址条目。

注: 对于 iOS 9 上运行的设备或者使用 T-Mobile 作为运营商的设备,AAAA 记录是必需的。AAAA 条目值是用于编码 IPv4 地址的 IPv6 地址。如果无法通过 IPv6 对 KDC 进行寻址,且正在使用 IPv4 地址,可能需要在 DNS 服务器上采用严格 IPv6 表示法将 AAAA 条目指定为 ::ffff:175c:e147。您可以使用 IPv4-IPv6 转换工具(例如 Neustar.UltraTools 提供的工具),将 IPv4 转换为 IPv6 地址表示法。

KDC 的 DNS 记录条目

在该示例 DNS 记录中,领域是 EXAMPLE.COM;VMware Identity Manager 完全限定域名是 idm.example.com,而 VMware Identity Manager IP 地址是 1.2.3.4

kdc.example.com.               1800 IN  A            1.2.3.4
kdc.example.com.               1800 IN  AAAA         ::ffff:1.2.3.4
_kerberos._tcp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.
_kerberos._udp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.