Встроенный KDC можно использовать для единого входа на мобильных устройствах iOS под управлением VMware Workspace ONE™ UEM в целях проверки подлинности. Необходимо вручную инициализировать центр распространения ключей (KDC) на устройстве, прежде чем включить выбранный способ проверки подлинности в консоли администрирования.
Прежде чем инициализировать KDC в VMware Identity Manager, задайте имя области для сервера KDC, а также определите, есть ли в развертывании поддомены и следует ли использовать сертификат сервера KDC по умолчанию.
Область
Область — это имя административной единицы, в которой хранятся данные проверки подлинности. Важно правильно выбрать описательное имя области проверки подлинности Kerberos. Имя области должно быть частью домена DNS, который может настроить компания.
Имя области и полное доменное имя, используемое для доступа к службе VMware Identity Manager, являются независимыми. У компании должна быть возможность управлять доменами DNS как для имени области, так и для полного доменного имени. Принято, чтобы имя области совпадало с доменным именем DNS для VMware Identity Manager, но было введено в верхнем регистре. Иногда имя области и доменное имя отличаются. Например, имя области — EXAMPLE.NET, а idm.example.com — полное доменное имя VMware Identity Manager. В этом случае необходимо определить DNS-записи для доменов example.net и example.com.
Имя области используется клиентом Kerberos для создания имен DNS. Например, если имя — EXAMPLE.COM, соответствующее имя Kerberos для связи с KDC по протоколу TCP — _kerberos._tcp.EXAMPLE.COM.
Использование поддоменов
Служба VMware Identity Manager, установленная в локальной среде, может использовать поддомен полного доменного имени VMware Identity Manager. Если у сайта VMware Identity Manager есть доступ к нескольким доменам DNS, настройте их следующим образом: location1.example.com; location2.example.com; location3.example.com. В данном случае поддоменом будет значение example.com в нижнем регистре. Чтобы настроить поддомен в своей среде, обратитесь к сотрудникам службы поддержки.
Использование сертификатов сервера KDC
Если центр KDC инициализирован, по умолчанию создаются сертификат сервера KDC и самозаверяющий корневой сертификат. Сертификат используется для выдачи сертификата сервера KDC. Этот корневой сертификат включен в профиль устройства, чтобы устройство могло доверять KDC.
Сертификат сервера KDC можно создать вручную, используя корневой или промежуточный сертификат компании. Чтобы получить дополнительные сведения об этой возможности, обратитесь в службу поддержки.
Корневой сертификат сервера KDC, используемый в конфигурации Workspace ONE UEM профиля управления устройствами iOS, можно загрузить в консоли администрирования VMware Identity Manager.