Vous pouvez ajouter à votre déploiement de connecteurs en mode de connexion sortant l'authentification Kerberos pour les utilisateurs internes (ce qui nécessite le mode de connexion entrant). Les mêmes connecteurs peuvent être configurés pour utiliser l'authentification Kerberos pour les utilisateurs provenant du réseau interne et une autre méthode d'authentification pour les utilisateurs provenant du réseau externe. Cela peut être obtenu en définissant des stratégies d’authentification basées sur plages réseau.
Les considérations et les exigences sont les suivantes :
L'authentification Kerberos peut être configurée quel que soit le type d'annuaire que vous définissez dans VMware Identity Manager, Active Directory via LDAP ou Active Directory (authentification Windows intégrée).
Le connecteur doit être joint au domaine Active Directory.
Le nom d'hôte du connecteur doit correspondre au domaine Active Directory auquel le connecteur est joint. Par exemple, si le domaine Active Directory est sales.example.com, le nom d'hôte du connecteur doit être connectorhost.sales.example.com.
Si vous ne pouvez pas attribuer un nom d'hôte qui correspond à la structure de domaine Active Directory, vous devez configurer manuellement le connecteur et Active Directory. Consultez la base de connaissances pour plus d'informations.
Chaque connecteur sur lequel l'authentification Kerberos est configurée doit disposer d'un certificat SSL approuvé. Vous pouvez obtenir le certificat auprès de votre autorité de certification interne. L'authentification Kerberos ne fonctionne pas avec les certificats auto-signés.
Des certificats SSL approuvés sont requis, que vous activiez Kerberos sur un connecteur unique ou sur plusieurs connecteurs pour la haute disponibilité.
Pour configurer la haute disponibilité pour l’authentification Kerberos, un équilibrage de charge est requis.