В свое развертывание соединителей, работающих в режиме поддержки только исходящих соединений, можно добавить проверку подлинности Kerberos для внутренних пользователей, которым требуется режим поддержки только входящих соединений. Те же соединители можно настроить под использование проверки подлинности Kerberos для пользователей, которые подключаются из внутренней сети, а другой метод проверки подлинности применять для пользователей, которые подключаются из внешней сети. Для этого определите политики проверки подлинности на основании сетевых диапазонов.
На следующей схеме показана проверка подлинности Kerberos в локальной среде развертывания VMware Identity Manager.
Требования и рекомендации при проверке подлинности Kerberos:
Вне зависимости от типа каталога, настраиваемого в VMware Identity Manager, Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows), можно настроить проверку подлинности Kerberos.
Компьютер под управлением Windows, на который устанавливается соединитель VMware Identity Manager, должен быть присоединен к домену Active Directory.
Установка VMware Identity Manager Connector должна быть выполнена от имени пользователя домена, который является частью группы администраторов на компьютере под управлением Windows, где установлен соединитель. Необходимо запустить службу VMware IDM Connector от имени пользователя домена Windows.
Убедитесь, что выбрано подходящее и удобное имя узла для соединителя. Если настроена проверка подлинности Kerberos, имя узла VMware Identity Manager Connector отображается для конечных пользователей.
У всех соединителей, на которых настроена проверка подлинности Kerberos, должен быть доверенный сертификат SSL. Его можно получить сертификат в своем внутреннем центре сертификации. Проверка подлинности Kerberos не работает с самозаверяющими сертификатами.
Доверенные сертификаты SSL нужны независимо от того, включена проверка подлинности Kerberos на одном или нескольких соединителях для обеспечения высокой доступности.
Чтобы настроить высокую доступность для проверки подлинности Kerberos, требуется подсистема балансировки нагрузки.