4.2. DNS ドメイン名および Kerberos レルム名を計画するためのガイドライン
最初の Identity Management (IdM) サーバーをインストールする場合は、インストールに、IdM ドメイン名および Kerberos レルム名の入力が求められます。これらのガイドラインは、名前を正しく設定するのに役立ちます。
警告
サーバーをインストールしてから、IdM のプライマリードメイン名および Kerberos レルム名を変更することはできません。この名前を変更し (例: lab.example.com から production.example.com へ)、テスト環境で実稼働環境に移行することは意図していません。
- サービスレコード用の個別の DNS ドメイン
- IdM に使用されている プライマリー DNS ドメイン が他のシステムと共有されていないことを確認してください。これにより、DNS レベルでの競合が回避されます。
- 適切な DNS ドメイン名委譲
- DNS ドメインのパブリック DNS ツリーで有効な委任があることを確認します。プライベートネットワーク上でも委譲されていないドメイン名は使用しないでください。
- マルチラベルの DNS ドメイン
-
シングルラベルのドメイン名 (
.companyなど) は使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.comやcompany.example.comなど) で構成されている必要があります。 - 一意の Kerberos レルム名
- レルム名が、Active Directory (AD) が使用する名前など、その他の既存の Kerberos レルム名と競合していないことを確認します。
- Kerberos レルム名 (プライマリー DNS 名の大文字バージョン)
レルム名を、プライマリー DNS ドメイン名 (
example.com) の大文字 (EXAMPLE.COM) に設定することを検討してください。警告Kerberos レルム名をプライマリー DNS 名の大文字に設定しない場合は、AD 信頼を使用することができません。
DNS ドメイン名および Kerberos レルム名の計画に関する注意点
- IdM デプロイメントでは、常に Kerberos レルムが 1 つだけ使用されます。
-
複数の DNS ドメイン (
example.com、example.net、example.org) にある IdM クライアントを、1 つの Kerberos レルム (EXAMPLE.COM) に統合できます。 IdM クライアントは、プライマリー DNS ドメインに置く必要がありません。たとえば、IdM ドメインが
idm.example.comの場合、クライアントはclients.example.comドメインに指定できますが、DNS ドメインと Kerberos レルムとの間でマッピングを設定する必要があります。注記マッピングを作成する標準的な方法は、_kerberos TXT DNS レコードを使用することです。IdM 統合 DNS は、このレコードを自動的に追加します。
DNS 転送の計画
- IdM デプロイメント全体に 1 つのフォワーダーのみを使用する場合は、グローバルフォワーダー を設定します。
- 地理的に離れた地域にある複数のサイトに会社が分散している場合は、グローバルフォワーダーが実用的ではない可能性があります。サーバーごとのフォワーダー を設定します。
- 会社に、パブリックインターネットでは解決できない内部 DNS ネットワークがある場合は、IdM ドメインのホストがこの他の内部 DNS ネットワークからホストを解決できるように、転送ゾーン と ゾーンフォワーダー を設定します。
