Sie können die Kerberos-Authentifizierung für interne Benutzer hinzufügen. Dafür ist die eingehende Verbindung für Ihre Bereitstellung von ausgehenden Verbindungsconnectors erforderlich. Die gleichen Connectors können so konfiguriert werden, dass die Kerberos-Authentifizierung für Benutzer verwendet wird, die vom internen Netzwerk aus zugreifen, und eine andere Authentifizierungsmethode für Benutzer, die von einem externen Netzwerk aus zugreifen. Dies kann durch die Definition von Authentifizierungsrichtlinien auf der Basis von Netzwerkbereichen erreicht werden.

Das folgende Diagramm zeigt die Kerberos-Authentifizierung in einer lokalen VMware Identity Manager-Bereitstellung.

Abbildung 1. Kerberos-Authentifizierung

Diagramm zur Kerberos-Authentifizierung

Für die Kerberos-Authentifizierung gelten die folgenden Anforderungen und Überlegungen:

  • Die Kerberos-Authentifizierung kann unabhängig vom Typ des Verzeichnisses konfiguriert werden, den Sie in VMware Identity Manager, Active Directory über LDAP oder Active Directory über integrierte Windows-Authentifizierung einrichten.
  • Die Windows-Maschine, auf der der VMware Identity Manager-Connector installiert wird, muss der Active Directory-Domäne hinzugefügt werden.
  • Sie müssen VMware Identity Manager Connector als Domänenbenutzer installiert haben, der auf der Windows-Maschine, auf der der Connector installiert wird, Teil der Administratorgruppe ist. Außerdem müssen Sie den VMware IDM Connector-Dienst als Windows-Domänenbenutzer ausführen.
  • Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Connector auszuwählen. Der Hostname des VMware Identity Manager-Connectors ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.
  • Jeder Connector, auf dem Kerberos-Authentifizierung konfiguriert ist, muss über ein vertrauenswürdiges SSL-Zertifikat verfügen. Sie können das Zertifikat von Ihrer internen Zertifizierungsstelle beziehen. Kerberos-Authentifizierung funktioniert nicht mit selbst signierten Zertifikaten.

    Vertrauenswürdige SSL-Zertifikate sind erforderlich, unabhängig davon, ob Sie Kerberos auf einem einzelnen Connector oder auf mehreren Connectors für Hochverfügbarkeit aktivieren.

  • Damit die Hochverfügbarkeit für die Kerberos-Authentifizierung eingerichtet werden kann, ist ein Lastausgleichsdienst erforderlich.