您可以将内部用户的 Kerberos 身份验证(需要使用入站连接模式)添加到所部署的出站连接模式连接器中。可以将相同的连接器配置为对来自内部网络的用户使用 Kerberos 身份验证,对来自外部网络的用户使用其他身份验证方法。可以根据网络范围定义身份验证策略以实现该目的。

要求和注意事项包括:

  • 无论您在 VMware Identity Manager 中设置的目录类型是通过 LDAP 访问的 Active Directory 还是通过集成 Windows 身份验证访问的 Active Directory,都可以配置 Kerberos 身份验证。
  • 该连接器必须加入到 Active Directory 域中。
  • 连接器主机名必须与该连接器加入到的 Active Directory 域相匹配。例如,如果 Active Directory 域为 sales.example.com,则连接器主机名必须为 connectorhost.sales.example.com。

    如果您无法分配与 Active Directory 域结构相匹配的主机名,则需要手动配置连接器和 Active Directory。请参阅知识库以了解相关信息。

  • 配置了 Kerberos 身份验证的每个连接器都必须具有受信任的 SSL 证书。您可以从内部证书颁发机构获取证书。Kerberos 身份验证不适用于自签名证书。

    无论您是在单个连接器上启用 Kerberos,还是在多个连接器上为实现高可用性而启用 Kerberos,都需要受信任的 SSL 证书。

  • 要为 Kerberos 身份验证设置高可用性,需要使用负载平衡器。