6.5. Configurar el DNS
Estas directrices pueden ayudarle a conseguir la configuración de DNS adecuada para establecer una confianza cruzada entre Identity Management (IdM) y Active Directory (AD).
- Dominios DNS primarios únicos
Asegúrese de que tanto AD como IdM tienen configurados sus propios dominios DNS primarios. Por ejemplo:
-
ad.example.com
para AD yidm.example.com
para IdM -
example.com
para AD yidm.example.com
para IdM
La solución de gestión más conveniente es un entorno en el que cada dominio DNS es gestionado por servidores DNS integrados, pero también se puede utilizar cualquier otro servidor DNS que cumpla con los estándares.
-
- No hay solapamiento entre los dominios IdM y ADS DNS
- Los sistemas unidos a IdM pueden estar distribuidos en varios dominios DNS. Asegúrese de que los dominios DNS que contienen clientes de IdM no se solapan con los dominios DNS que contienen sistemas unidos a AD.
- Registros SRV adecuados
Asegúrese de que el dominio DNS primario de IdM tiene los registros SRV adecuados para admitir los fideicomisos de AD.
Para otros dominios DNS que formen parte del mismo reino IdM, no es necesario configurar los registros SRV cuando se establezca la confianza en AD. La razón es que los controladores de dominio de AD no utilizan los registros SRV para descubrir los centros de distribución de claves (KDC) de Kerberos, sino que basan el descubrimiento de los KDC en la información de enrutamiento del sufijo del nombre para la confianza.
- Registros DNS resolubles desde todos los dominios DNS de la confianza
Asegúrese de que todos los equipos puedan resolver los registros DNS de todos los dominios DNS implicados en la relación de confianza:
- Al configurar el DNS de IdM, siga las instrucciones descritas en Instalación de un servidor de IdM con una CA externa.
- Si utiliza IdM sin DNS integrado, siga las instrucciones descritas en Instalación de un servidor IdM sin DNS integrado.
- Nombres de dominio Kerberos como versiones en mayúsculas de los nombres de dominio DNS primarios
-
Asegúrese de que los nombres de dominio de Kerberos sean los mismos que los nombres de dominio DNS primario, con todas las letras en mayúscula. Por ejemplo, si los nombres de dominio son
ad.example.com
para AD yidm.example.com
para IdM, los nombres de dominio de Kerberos deben serAD.EXAMPLE.COM
yIDM.EXAMPLE.COM
.