После инициализации KDC в VMware Identity Manager необходимо создать общедоступные DNS-записи, чтобы разрешить клиентам Kerberos выполнять поиск KDC при включенной встроенной проверке подлинности с помощью Kerberos.

Имя области KDC входит в состав DNS-имени записей устройства VMware Identity Manager, которые используются для обнаружения службы KDC. Для каждого сайта VMware Identity Manager необходимо создать две DNS-записи и две записи адреса.

Примечание: Запись AAAA требуется для устройств, работающих в iOS 9 или использующих T-Mobile в качестве оператора. Значение записи АААА — это IPv6-адрес, в котором закодирован IPv4-адрес. Если KDC не разрешается через используемый IPv6- или IPv4-адрес, запись AAAA на сервере DNS должна быть указана точно в формате IPv6 (как ::ffff:175c:e147). Чтобы преобразовать адреса IPv4 в IPv6, можно использовать средство преобразования, доступное на сайте Neustar.UltraTools.

DNS-записи для KDC

В этом примере DNS-записи EXAMPLE.COM — это область, idm.example.com — полное доменное имя VMware Identity Manager, 1.2.3.4 — IP-адрес VMware Identity Manager.

kdc.example.com.               1800 IN  A            1.2.3.4
kdc.example.com.               1800 IN  AAAA         ::ffff:1.2.3.4
_kerberos._tcp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.
_kerberos._udp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.