U kunt Kerberos-verificatie voor interne gebruikers, waarvoor een inkomende verbindingsmodus is vereist, toevoegen aan uw implementatie van connectoren met een uitgaande verbindingsmodus. Dezelfde connectoren kunnen worden geconfigureerd om gebruik te maken van Kerberos-verificatie voor gebruikers die vanuit het interne netwerk komen, en van een andere verificatiemethode voor gebruikers van het externe netwerk. Dit kan worden bereikt door verificatiebeleidsregels te definiëren op basis van netwerkbereiken.
Vereisten en overwegingen zijn onder meer:
- Kerberos-verificatie kan worden geconfigureerd ongeacht het type directory dat u in VMware Identity Manager, Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie instelt.
- De connector moet worden gekoppeld aan het domein Active Directory.
- De hostnaam van de connector moet overeenkomen met het Active Directory-domein waaraan de connector is toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn.
Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie.
- Elke connector waarop Kerberos-verificatie is geconfigureerd, moet een vertrouwd SSL-certificaat hebben. U kunt het certificaat verkrijgen van uw interne certificaatautoriteit. Kerberos-verificatie werkt niet met automatisch ondertekende certificaten.
Vertrouwde SSL-certificaten zijn vereist, ongeacht of u Kerberos inschakelt op een afzonderlijke connector of op meerdere connectoren voor hoge beschikbaarheid.
- Om hoge beschikbaarheid voor Kerberos-verificatie in te stellen, is een load balancer vereist.