4.2. DNS 도메인 이름 및 Kerberos 영역 이름 계획 지침
첫 번째 IdM(Identity Management) 서버를 설치할 때 설치 프롬프트에서 IdM 도메인 및 Kerberos 영역 이름의 기본 DNS 이름을 입력하라는 메시지가 표시됩니다. 이러한 지침은 이름을 올바르게 설정하는 데 도움이 될 수 있습니다.
주의
서버가 이미 설치된 후에는 IdM 기본 도메인 이름과 Kerberos 영역 이름을 변경할 수 없습니다. 예를 들어 lab.example.com에서 production.example.com 으로 이름을 변경하여 테스트 환경에서 프로덕션 환경으로 이동할 수는 없습니다 .
- 서비스 레코드의 별도의 DNS 도메인
- IdM에 사용되는 기본 DNS 도메인이 다른 시스템과 공유되지 않는지 확인합니다. 이렇게 하면 DNS 수준에서 충돌을 방지할 수 있습니다.
- 적절한 DNS 도메인 이름 위임
- DNS 도메인의 퍼블릭 DNS 트리에 유효한 위임이 있는지 확인합니다. 사설 네트워크가 아니라 사용자에게 위임되지 않은 도메인 이름을 사용하지 마십시오.
- 다중 레이블 DNS 도메인
-
단일 레이블 도메인 이름(예:
.company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예:example.com 또는company.example.com)으로 구성되어야 합니다. - 고유한 Kerberos 영역 이름
- 영역 이름이 AD(Active Directory)에서 사용하는 이름과 같이 다른 기존 Kerberos 영역 이름과 충돌하지 않는지 확인합니다.
- 기본 DNS 이름의 대문자 버전인 Kerberos 영역 이름
영역 이름을 기본 DNS 도메인 이름(
example.com)의 대문자( EXAMPLE.COM) 버전으로 설정하는 것이 좋습니다.주의Kerberos 영역 이름을 기본 DNS 이름의 대문자 버전으로 설정하지 않으면 AD 트러스트를 사용할 수 없습니다.
DNS 도메인 이름 및 Kerberos 영역 이름 계획에 대한 추가 정보
- 한 IdM 배포는 항상 하나의 Kerberos 영역을 나타냅니다.
-
여러 개의 DNS 도메인(
example.com, example.net,example.org)에서 단일 Kerberos 영역(EXAMPLE.COM)으로 IdM 클라이언트를 연결할 수 있습니다. IdM 클라이언트가 기본 DNS 도메인에 없어도 됩니다. 예를 들어 IdM 도메인이
idm.example.com인 경우 클라이언트는clients.example.com도메인에 있을 수 있지만 DNS 도메인과 Kerberos 영역 간에 명확한 매핑을 구성해야 합니다.참고매핑을 생성하는 표준 방법은 _kerberos TXT DNS 레코드를 사용하는 것입니다. IdM 통합 DNS는 이러한 레코드를 자동으로 추가합니다.
DNS 전달 계획
- 전체 IdM 배포에 대해 하나의 전달자만 사용하려는 경우 글로벌 전달자 를 구성합니다.
- 귀사가 지리적으로 위치한 지역에 있는 여러 사이트에 분산되어 있는 경우 전 세계 포워딩이 비현실적일 수 있습니다. 서버 별 전달자를 구성합니다.
- 회사에 공용 인터넷에서 확인할 수 없는 내부 DNS 네트워크가 있는 경우 IdM 도메인 의 호스트가 이 다른 내부 DNS 네트워크에서 호스트를 확인할 수 있도록 전달 영역 및 영역 전달자 를 구성합니다.
