您可以将内部用户的 Kerberos 身份验证(需要使用入站连接模式)添加到所部署的出站连接模式连接器中。可以将相同的连接器配置为对来自内部网络的用户使用 Kerberos 身份验证,对来自外部网络的用户使用其他身份验证方法。可以根据网络范围定义身份验证策略以实现该目的。
要求和注意事项包括:
无论您在 VMware Identity Manager 中设置的目录类型是通过 LDAP 访问的 Active Directory 还是 Active Directory(集成 Windows 身份验证),都可以配置 Kerberos 身份验证。
该连接器必须加入到 Active Directory 域中。
连接器主机名必须与该连接器加入到的 Active Directory 域相匹配。例如,如果 Active Directory 域为 sales.example.com,则连接器主机名必须为 connectorhost.sales.example.com。
如果您无法分配与 Active Directory 域结构相匹配的主机名,则需要手动配置连接器和 Active Directory。请参阅知识库以了解相关信息。
配置了 Kerberos 身份验证的每个连接器都必须具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。
无论您是在单个连接器上启用 Kerberos,还是在多个连接器上为实现高可用性而启用 Kerberos,都需要受信任的 SSL 证书。
要为 Kerberos 身份验证设置高可用性,需要使用负载平衡器。
