VMware Identity Manager で KDC を初期化した後は、組み込みの Kerberos 認証機能が有効な場合に Kerberos クライアントが KDC を検索できるように、パブリック DNS レコードを作成する必要があります。
KDC サービスの検出に使用される VMware Identity Manager アプライアンス エントリの DNS 名の一部として、KDC レルム名が使用されます。各 VMware Identity Manager サイトおよび 2 つのアドレス エントリに対して、DNS レコードが 2 つ必要です。
注: AAAA レコードは、iOS 9 で実行しているデバイス、またはキャリアとして T-Mobile を使用しているデバイスに必要です。AAAA エントリ値は、IPv4 アドレスをエンコードする IPv6 アドレスです。KDC が IPv6 アドレスを名前解決できず、IPv4 アドレスが使用される場合、DNS サーバでは、AAAA エントリを厳密な IPv6 表記の
::ffff:175c:e147
として指定する必要があります。Neustar. UltraTools などの IPv4 から IPv6 への変換ツールを使用すると、IPv4 を IPv6 アドレス表記に変換できます。
KDC 用の DNS レコード エントリ
次に示す DNS レコードの例では、レルムが EXAMPLE.COM
、VMware Identity Manager の完全修飾ドメイン名が idm.example.com
、VMware Identity Manager IP アドレスが 1.2.3.4
です。
kdc.example.com. 1800 IN A 1.2.3.4
kdc.example.com. 1800 IN AAAA ::ffff:1.2.3.4
_kerberos._tcp.idm.EXAMPLE.COM IN SRV 10 0 88 kdc.example.com.
_kerberos._udp.idm.EXAMPLE.COM IN SRV 10 0 88 kdc.example.com.