После инициализации KDC в VMware Identity Manager необходимо создать общедоступные DNS-записи, чтобы разрешить клиентам Kerberos выполнять поиск KDC при включенной встроенной проверке подлинности с помощью Kerberos.
Имя области KDC входит в состав DNS-имени записей устройства VMware Identity Manager, которые используются для обнаружения службы KDC. Для каждого сайта VMware Identity Manager необходимо создать одну DNS-запись расположения службы SRV и две записи адреса А.
Примечание: Значение записи АААА — это IPv6-адрес, в котором закодирован IPv4-адрес. Если KDC не разрешается через используемый IPv6- или IPv4-адрес, запись AAAA на сервере DNS должна быть указана точно в формате IPv6 (как
::ffff:175c:e147
). Чтобы преобразовать адреса IPv4 в IPv6, можно использовать средство преобразования, доступное на сайте Neustar.UltraTools.
DNS-записи для KDC
В этом примере DNS-записи EXAMPLE.COM
— это область, idm.example.com
— полное доменное имя VMware Identity Manager, 1.2.3.4
— IP-адрес VMware Identity Manager.
idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4
idm.example.com. 1800 IN A 1.2.3.4
_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.