要配置 Directories Management 服务以提供 Kerberos 身份验证,您必须加入域并在 Directories Management 连接器上启用 Kerberos 身份验证。

过程

  1. 作为租户管理员,导航到管理 > 身份目录管理 > 连接器
  2. 在“连接器”页面上,对于要为其配置 Kerberos 身份验证的连接器,单击加入域
  3. 在“加入域”页面上,输入 Active Directory 域的信息。

    选项

    描述

    输入 Active Directory 的完全限定域名。您输入的域名必须与连接器服务器所在的域是同一个 Windows 域。

    域用户

    输入有权将系统加入该 Active Directory 域的 Active Directory 帐户的用户名。

    域密码

    输入与该 AD 用户名关联的密码。Directories Management 不会保存此密码。

    单击保存

    此时“加入域”页面将刷新并显示一条表明您当前已加入该域的消息。

  4. 在连接器的“工作线程”列中,单击身份验证适配器
  5. 单击 KerberosIdpAdapter

    将重定向到 Identity Manager 登录页面。

  6. 单击“KerberosldpAdapter”行中的编辑并配置 Kerberos 身份验证页面。

    选项

    描述

    名称

    名称必填。默认名称为 KerberosIdpAdapter。您可以对其进行更改。

    目录 UID 属性

    输入包含用户名的帐户属性。

    启用 Windows 身份验证

    选中此选项可扩展用户浏览器与 Directories Management 之间的身份验证交互。

    启用 NTLM

    选中此选项可仅在您的 Active Directory 基础架构依赖于 NT LAN 管理器 (NTLM) 身份验证时启用基于 NTLM 协议的身份验证。

    启用重定向

    如果循环 DNS 和负载平衡器不支持 Kerberos,请选中此选项。身份验证请求将重定向至“重定向主机名”。如果选中此选项,请在重定向主机名文本框中输入重定向主机名。这通常是该服务的主机名。

  7. 单击保存

下一步做什么

将该身份验证方法添加到默认访问策略。导航到管理 > 身份目录管理 > 策略,然后单击编辑默认策略以编辑默认策略规则,从而将 Kerberos 身份验证方法按正确的身份验证顺序添加到该规则中。