在 VMware Identity Manager 中初始化 KDC 之前,請確認 KDC 伺服器的領域名稱、子網域是否位在您的部署中,以及是否要使用預設 KDC 伺服器憑證。

領域

領域是負責維護驗證資料的管理實體的名稱。為 Kerberos 驗證領域選取描述性的名稱非常重要。領域名稱必須是企業可設定之 DNS 網域的一部分。

領域名稱和用來存取 VMware Identity Manager 服務的完整網域名稱 (FQDN) 互相獨立。您的企業必須同時控制領域名稱和 FQDN 的 DNS 網域。慣例是以大寫字母輸入相同的領域名稱與網域名稱。領域名稱有時候會與網域不同。例如,領域名稱為 EXAMPLE.NET,而 idm.example.com 為 VMware Identity Manager FQDN。在此案例中,您要為 example.netexample.com 網域皆定義 DNS 項目。

Kerberos 用戶端會使用領域名稱來產生 DNS 名稱。例如,如果名稱為 example.com,則 TCP 用來連絡 KDC 的 Kerberos 相關名稱會是 _kerberos._tcp.EXAMPLE.COM

使用子網域

安裝於內部部署環境中的 VMware Identity Manager 服務可以使用 VMware Identity Manager FQDN 子網域。如果您的 VMware Identity Manager 站台會存取多個 DNS 網域,請將這些網域設定為 location1.example.com、location2.example.com 和 location3.example.com。在此例中的子網域值是以小寫字母輸入的 example.com。若要在您的環境中設定子網域,請與您的服務支援團隊合作。

使用 KDC 伺服器憑證

KDC 初始化後,依預設會產生 KDC 伺服器憑證和自我簽署根憑證。憑證將用來簽發 KDC 伺服器憑證。此根憑證會包含在裝置設定檔中,因此裝置可以信任 KDC。

您可使用企業根憑證或中繼憑證來手動產生 KDC 伺服器憑證。如需此功能的詳細資訊,請聯絡您的服務支援團隊。

您可從 VMware Identity Manager 管理主控台下載 KDC 伺服器憑證,以便用於 iOS 裝置管理設定檔的 AirWatch 組態中。