4.2. Lignes directrices pour la planification du nom de domaine DNS et du nom de domaine Kerberos
Lors de l'installation du premier serveur de gestion des identités (IdM), le programme d'installation demande le nom DNS primaire du domaine IdM et le nom du domaine Kerberos. Les lignes directrices de cette section peuvent vous aider à définir les noms correctement.
Vous ne pourrez pas modifier le nom du domaine primaire IdM et le nom du domaine Kerberos une fois que le serveur est déjà installé. Ne vous attendez pas à pouvoir passer d'un environnement de test à un environnement de production en changeant les noms, par exemple de lab.example.com
à production.example.com
.
- Un domaine DNS distinct pour les enregistrements de service
- Veillez à ce que le site primary DNS domain utilisé pour IdM ne soit partagé avec aucun autre système. Cela permet d'éviter les conflits au niveau du DNS.
- Délégation correcte du nom de domaine DNS
- Assurez-vous que vous disposez d'une délégation valide dans l'arborescence DNS publique pour le domaine DNS. N'utilisez pas un nom de domaine qui ne vous est pas délégué, même sur un réseau privé.
- Domaine DNS multi-label
-
N'utilisez pas de noms de domaine à étiquette unique, par exemple
.company
. Le domaine IdM doit être composé d'un ou plusieurs sous-domaines et d'un domaine de premier niveau, par exempleexample.com
oucompany.example.com
. - Un nom de domaine Kerberos unique
- Assurez-vous que le nom du domaine n'est pas en conflit avec un autre nom de domaine Kerberos existant, tel qu'un nom utilisé par Active Directory (AD).
- Nom du domaine Kerberos en tant que version majuscule du nom DNS primaire
Envisagez de définir le nom de domaine comme une version en majuscules (
EXAMPLE.COM
) du nom de domaine DNS primaire (example.com
).AvertissementSi vous ne définissez pas le nom de domaine Kerberos comme étant la version en majuscules du nom DNS primaire, vous ne pourrez pas utiliser les trusts AD.
Remarques supplémentaires sur la planification du nom de domaine DNS et du nom de domaine Kerberos
- Un déploiement IdM représente toujours un royaume Kerberos.
-
Vous pouvez joindre des clients IdM à partir de plusieurs domaines DNS distincts (
example.com
,example.net
,example.org
) à un seul royaume Kerberos (EXAMPLE.COM
). Les clients IdM ne doivent pas nécessairement se trouver dans le domaine DNS primaire. Par exemple, si le domaine IdM est
idm.example.com
les clients peuvent se trouver dans le domaineclients.example.com
mais une correspondance claire doit être configurée entre le domaine DNS et le domaine Kerberos.NoteLa méthode standard pour créer la correspondance est d'utiliser les enregistrements DNS _kerberos TXT. Le DNS intégré de l'IdM ajoute ces enregistrements automatiquement.
Planification de la transmission DNS
- Si vous souhaitez utiliser un seul transitaire pour l'ensemble de votre déploiement IdM, configurez un global forwarder.
- Si votre entreprise est répartie sur plusieurs sites dans des régions géographiquement éloignées, les transitaires mondiaux peuvent s'avérer peu pratiques. Configurez per-server forwarders.
- Si votre entreprise dispose d'un réseau DNS interne qui n'est pas résolvable depuis l'internet public, configurez un forward zone et un zone forwarders pour que les hôtes du domaine IdM puissent résoudre les hôtes de cet autre réseau DNS interne.