Sie können die Kerberos-Authentifizierung für interne Benutzer hinzufügen. Dafür ist die eingehende Verbindung für Ihre Bereitstellung von ausgehenden Verbindungsconnectors erforderlich. Die gleichen Connectors können so konfiguriert werden, dass die Kerberos-Authentifizierung für Benutzer verwendet wird, die vom internen Netzwerk aus zugreifen, und eine andere Authentifizierungsmethode für Benutzer, die von einem externen Netzwerk aus zugreifen. Dies kann durch die Definition von Authentifizierungsrichtlinien auf der Basis von Netzwerkbereichen erreicht werden.
Anforderungen und Überlegungen beinhalten:
Die Kerberos-Authentifizierung kann unabhängig vom Typ des Verzeichnisses konfiguriert werden, den Sie in VMware Identity Manager, Active Directory über LDAP oder Active Directory (integrierte Windows-Authentifizierung) einrichten.
Der Connector muss der Active Directory-Domäne beitreten.
Der Connector-Hostname muss mit der Active Directory-Domäne übereinstimmen, zu der der Connector hinzugefügt wird. Wenn beispielsweise die Active Directory-Domäne Sales.example.com lautet, muss der Connector-Hostname Connectorhost.sales.example.com lauten.
Wenn Sie einen Hostnamen, der der Domänenstruktur von Active Directory entspricht, nicht zuweisen können, müssen Sie den Connector und Active Directory manuell konfigurieren. Weitere Informationen finden Sie in der Knowledgebase.
Jeder Connector, auf dem Kerberos-Authentifizierung konfiguriert ist, muss über ein vertrauenswürdiges SSL-Zertifikat verfügen. Sie können das Zertifikat von Ihrer internen Zertifizierungsstelle beziehen. Kerberos-Authentifizierung funktioniert nicht mit selbst signierten Zertifikaten.
Vertrauenswürdige SSL-Zertifikate sind erforderlich, unabhängig davon, ob Sie Kerberos auf einem einzelnen Connector oder auf mehreren Connectors für Hochverfügbarkeit aktivieren.
Damit die Hochverfügbarkeit für die Kerberos-Authentifizierung eingerichtet werden kann, ist ein Lastausgleichsdienst erforderlich.
