Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione di connettori in modalità di connessione in uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che provengono dalla rete interna. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete.

Il diagramma seguente illustra l'autenticazione Kerberos in una distribuzione locale di VMware Identity Manager.

Figura 1. Autenticazione Kerberos


Diagramma dell'autenticazione Kerberos


I requisiti e le considerazioni per l'autenticazione Kerberos includono quanto segue:

  • È possibile configurare l'autenticazione Kerberos indipendentemente dal tipo di directory impostata in VMware Identity Manager, Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.

  • Il computer Windows in cui VMware Identity Manager Connector è installato deve appartenere al dominio di Active Directory.

  • È necessario installare il componente VMware Identity Manager Connector come utente del dominio che fa parte del gruppo di amministratori del computer Windows in cui è installato il connettore ed eseguire il servizio VMware IDM Connector come utente del dominio Windows.

  • Assicurarsi di scegliere un nome host appropriato e semplice da utilizzare per il connettore. Il nome host di VMware Identity Manager Connector è visibile per gli utenti finali quando l'autenticazione Kerberos è configurata.

  • Ogni connettore su cui è configurata l'autenticazione Kerberos deve avere un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati.

    Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità.

  • Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma di bilanciamento del carico.