レルム

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム名は、企業が構成できる DNS ドメインの一部である必要があります。

レルム名は、VMware Identity Manager サービスにアクセスするために使用される完全修飾ドメイン名 (FQDN) から独立しています。企業は、レルム名と FQDN の両方に対し、DNS ドメインを制御する必要があります。一般的には、レルム名をドメイン名と同一とし、大文字で指定します。ドメイン名とは異なるレルム名を指定することもあります。たとえば、レルム名が EXAMPLE.NET で、idm.example.com がVMware Identity Manager の FQDN であるとします。この場合、example.net と example.com の両方について、DNS エントリを定義します。

レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。たとえば、名前が example.com の場合、TCP を介して KDC にコンタクトする Kerberos 関連の名前は_kerberos._tcp.EXAMPLE.COMです。

サブドメインの使用

オンプレミス環境にインストールされた VMware Identity Managerサービスは、VMware Identity Manager FQDN サブドメインを使用できます。VMware Identity Managerサイトが複数の DNS ドメインにアクセスする場合は、ドメインを location1.example.com、location2.example.com、location3.example.com のように設定します。このとき、小文字で指定される example.com がサブドメインの値となります。環境でサブドメインを構成する場合は、サービス サポート チームと連携してください。

KDC サーバ証明書の使用

KDC が初期化されると、デフォルトで KDC サーバ証明書と自己署名ルート証明書が生成されます。証明書は、KDC サーバ証明書を発行するために使用されます。このルート証明書はデバイス プロファイルに含まれるので、デバイスは KDC を信頼できます。

KDC サーバ証明書は、エンタープライズ ルートまたは中間証明書を使用して手動で生成できます。この機能の詳細については、サービス サポート チームにお問い合わせください。

KDC サーバ ルート証明書を VMware Identity Manager管理コンソールからダウンロードして、iOS デバイス管理プロファイルの Workspace ONE UEM 構成で使用できます。