Принятие решений перед настройкой KDC

Прежде чем инициализировать KDC в VMware Identity Manager, задайте имя области для сервера KDC, а также определите, есть ли поддомены в развертывании и следует ли использовать сертификат сервера KDC по умолчанию.

Область

Область — это имя административной единицы, в которой хранятся данные проверки подлинности. Важно правильно выбрать описательное имя области проверки подлинности Kerberos. Имя области должно быть частью домена DNS, который может настроить компания.

Имя области и полное доменное имя, используемое для доступа к службе VMware Identity Manager, являются независимыми. У компании должна быть возможность управлять доменами DNS как для имени области, так и для полного доменного имени. Принято, чтобы имя области совпадало с доменным именем, но было введено в верхнем регистре. Иногда имя области и доменное имя отличаются. Например, имя области — EXAMPLE.NET, а полное доменное имя VMware Identity Manager — idm.example.com . В этом случае необходимо определить DNS-записи для доменов example.net и example.com.

Имя области используется клиентом Kerberos для создания имен DNS. Например, если имя — example.com, соответствующее имя Kerberos для связи с KDC по протоколу TCP — _kerberos._tcp.EXAMPLE.COM.

Использование поддоменов

Установленная в локальной среде служба VMware Identity Manager может использовать поддомен для полного доменного имени VMware Identity Manager. Если у сайта VMware Identity Manager есть доступ к нескольким доменам DNS, настройте их следующим образом: location1.example.com; location2.example.com; location3.example.com. В данном случае поддоменом будет значение example.com в нижнем регистре. Чтобы настроить поддомен в своей среде, обратитесь к сотрудникам службы поддержки.

Использование сертификатов сервера KDC

Если центр KDC инициализирован, по умолчанию создаются сертификат сервера KDC и самозаверяющий корневой сертификат. Сертификат используется для выдачи сертификата сервера KDC. Этот корневой сертификат включен в профиль устройства, чтобы устройство могло доверять KDC.

Сертификат сервера KDC можно создать вручную, используя корневой или промежуточный сертификат компании. Чтобы получить дополнительные сведения об этой возможности, обратитесь в службу поддержки.

Корневой сертификат сервера KDC, используемый в конфигурации AirWatch профиля управления устройствами с ОС iOS, можно загрузить из консоли администрирования VMware Identity Manager.