Bevor Sie KDC in VMware Identity Manager initialisieren, legen Sie den Bereichsnamen für den KDC-Server fest, unabhängig davon, ob Sie in Ihrer Bereitstellung Unterdomänen oder ein Standard-KDC-Serverzertifikat verwenden.

Bereich

Der Bereich ist der Name einer administrativen Einheit, die Authentifizierungsdaten verwaltet. Für den Bereich der Kerberos-Authentifizierung sollte unbedingt ein beschreibender Name ausgewählt werden. Der Bereichsname muss ein Teil der DNS-Domäne sein, die das Unternehmen konfigurieren kann.

Der Bereichsname und der voll qualifizierte Domänenname (FQDN), der für den Zugriff auf den VMware Identity Manager-Dienst verwendet wird, sind unabhängig. Ihr Unternehmen muss die DNS-Domänen sowohl für den Bereichsnamen als auch für den FQDN steuern. Der Bereichsname sollte grundsätzlich ebenso benannt werden wie Ihr Domänenname (in Großbuchstaben eingegeben). Manchmal können Bereichsname und Domänenname unterschiedlich sein. So ist beispielsweise EXAMPLE.NET ein Bereichsname und idm.example.com der VMware Identity Manage-FQDN (vollqualifizierte Domänenname). In diesem Fall definieren Sie DNS-Einträge für beide Domänen, für example.net und example.com.

Der Bereichsname wird von einem Kerberos-Client zum Generieren der DNS-Namen verwendet. Wenn der Name beispielsweise example.com ist, lautet der Kerberos-spezifische Name zur Kontaktaufnahme mit dem KDC über TCP _kerberos._tcp.EXAMPLE.COM.

Verwenden von Subdomänen

Der VMware Identity Manager-Dienst, der in einer lokalen Umgebung installiert ist, kann die VMware Identity Manager FQDN-Unterdomäne verwenden. Wenn Ihre VMware Identity Manager-Site auf mehrere DNS-Domänen zugreift, konfigurieren Sie die Domänen als location1.example.com; location2.example.com; location3.example.com. Der Subdomänenwert ist in diesem Fall „example.com“ (eingegeben in Kleinbuchstaben). Bei der Konfiguration einer Unterdomäne in Ihrer Umgebung sollten Sie eng mit Ihrem Service-Supportteam zusammenarbeiten.

Verwenden von KDC-Serverzertifikaten

Wenn KDC initialisiert ist, werden standardmäßig ein KDC-Serverzertifikat und ein selbstsigniertes Stammzertifikat generiert. Das Zertifikat wird zur Ausstellung des KDC-Serverzertifikats verwendet. Dieses Stammzertifikat ist im Geräteprofil enthalten, damit das KDC für das Gerät als vertrauenswürdig gilt.

Sie können das KDC-Serverzertifikat manuell generieren, indem Sie ein Unternehmens-Stamm- oder Zwischenzertifikat verwenden. Weitere Details zu dieser Funktion erhalten Sie von Ihrem Service-Supportteam.

Sie können das KDC-Serverstammzertifikat von der VMware Identity Manager-Verwaltungskonsole für die Verwendung in der AirWatch-Konfiguration des iOS-Geräteverwaltungsprofils herunterladen.