Antes de inicializar KDC en VMware Identity Manager, determine el nombre de territorio del servidor KDC, si la implementación incluye subdominios y si se utilizará o no el certificado del servidor KDC predeterminado.

Territorio

El territorio es el nombre de una entidad administrativa que mantiene los datos de autenticación. Es importante seleccionar un nombre descriptivo para el territorio de autenticación de Kerberos. El nombre del territorio debe formar parte de un dominio de DNS que la empresa pueda configurar.

El nombre del territorio y el nombre de dominio plenamente cualificado (FQDN) que se utilice para acceder al servicio VMware Identity Manager son independientes. Su empresa debe controlar los dominios de DNS tanto del nombre de territorio como del FQDN. La convención consiste en que el nombre del territorio sea el mismo que el de dominio, en mayúsculas. A veces, el nombre de territorio y el de dominio son diferentes. Por ejemplo, un nombre de territorio es EXAMPLE.NET y el FQDN de VMware Identity Manager es idm.example.com. En este caso, se definen las entradas de DNS tanto para el dominio ejemplo.net como para ejemplo.com.

El cliente de Kerberos utiliza el nombre de territorio para generar nombres de DNS. Por ejemplo, cuando el nombre es example.com, el nombre de Kerberos relacionado para contactar el KDC por TCP es _kerberos._tcp.EXAMPLE.COM.

Usar subdominios

El servicio VMware Identity Manager instalado en el propio entorno de las instalaciones puede utilizar el subdominio del FQDN de VMware Identity Manager. Si su sitio VMware Identity Manager accede a varios dominios DNS, configure los dominios como location1.example.com; location2.example.com; location3.example.com. El valor del subdominio es en este caso ejemplo.com, en minúsculas. Para configurar un subdominio en su entorno, consulte al equipo de su servicio de asistencia.

Utilizar certificados del servidor KDC

Al inicializar KDC, se generan un certificado del servidor y un certificado raíz autofirmado. El certificado se utiliza para emitir el certificado del servidor KDC. Este certificado raíz se incluye en el perfil del dispositivo para que este pueda confiar en KDC.

Para generar el certificado KDC manualmente, utilice un certificado raíz o intermedio de la empresa. Para obtener más información sobre esta función, contacte con el equipo de su servicio de asistencia.

El certificado raíz del servidor KDC se descarga de la consola de administración de VMware Identity Manager para utilizarlo en la configuración de AirWatch del perfil de administración del dispositivo iOS.