Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione di connettori in modalità di connessione in uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che provengono dalla rete interna. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete.
I requisiti e le considerazioni includono:
È possibile configurare l'autenticazione Kerberos indipendentemente dal tipo di directory impostata in VMware Identity Manager, Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.
Il connettore deve essere aggiunto al dominio di Active Directory.
Il nome host del connettore deve corrispondere al dominio Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com.
Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni.
Ogni connettore su cui è configurata l'autenticazione Kerberos deve avere un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati.
Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità.
Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma di bilanciamento del carico.