4.2. DNS 도메인 이름 및 Kerberos 영역 이름 계획에 대한 지침
첫 번째 IdM(Identity Management) 서버를 설치할 때 설치에 IdM 도메인 및 Kerberos 영역 이름의 기본 DNS 이름을 묻는 메시지가 표시됩니다. 이러한 지침은 이름을 올바르게 설정하는 데 도움이 될 수 있습니다.
주의
서버가 이미 설치된 후에는 IdM 기본 도메인 이름과 Kerberos 영역 이름을 변경할 수 없습니다. 예를 들어 이름을 lab.example.com 에서 production.example.com 으로 변경하여 테스트 환경에서 프로덕션 환경으로 이동할 수 없습니다.
- 서비스 레코드에 대한 별도의 DNS 도메인
- IdM에 사용된 기본 DNS 도메인이 다른 시스템과 공유되지 않았는지 확인합니다. 이를 통해 DNS 수준의 충돌을 방지할 수 있습니다.
- 적절한 DNS 도메인 이름 위임
- DNS 도메인의 퍼블릭 DNS 트리에 유효한 위임이 있는지 확인합니다. 사설 네트워크에도 속하지 않고 위임되지 않은 도메인 이름을 사용하지 마십시오.
- 다중 레이블 DNS 도메인
-
단일 레이블 도메인 이름(예:
.company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는company.example.com)으로 구성되어야 합니다. - 고유한 Kerberos 영역 이름
- 영역 이름이 AD(Active Directory)에서 사용하는 이름과 같은 다른 기존 Kerberos 영역 이름과 충돌하지 않는지 확인합니다.
- Kerberos 영역 이름: 기본 DNS 이름의 대문자 버전
영역 이름을 기본 DNS 도메인 이름(
example.com)의 대문자(EXAMPLE.COM) 버전으로 설정하는 것이 좋습니다.주의Kerberos 영역 이름을 기본 DNS 이름의 대문자 버전으로 설정하지 않으면 AD trust을 사용할 수 없습니다.
DNS 도메인 이름 및 Kerberos 영역 이름 계획에 대한 추가 참고 사항
- IdM 배포는 항상 하나의 Kerberos 영역을 나타냅니다.
-
여러 별도의 DNS 도메인(
example.com,example.net,example.org)의 IdM 클라이언트를 단일 Kerberos 영역(EXAMPLE.COM)에 결합할 수 있습니다. IdM 클라이언트는 기본 DNS 도메인에 있을 필요가 없습니다. 예를 들어 IdM 도메인이
idm.example.com인 경우 클라이언트는clients.example.com도메인에 있을 수 있지만 DNS 도메인과 Kerberos 영역 간에 명확한 매핑을 구성해야 합니다.참고매핑을 생성하는 표준 방법은 _kerberos TXT DNS 레코드를 사용하는 것입니다. IdM 통합 DNS는 이러한 레코드를 자동으로 추가합니다.
계획 DNS 전달
- 전체 IdM 배포에 하나의 전달자만 사용하려면 글로벌 전달자 를 구성하십시오.
- 회사가 지리적으로 멀리 떨어진 지역에 여러 사이트에 분산되어 있는 경우 글로벌 전달자가 비현실적 일 수 있습니다. 서버별 전달자를 구성합니다.
- 회사에 퍼블릭 인터넷에서 확인할 수 없는 내부 DNS 네트워크가 있는 경우 IdM 도메인 의 호스트가 다른 내부 DNS 네트워크에서 호스트를 확인할 수 있도록 정방향 영역 및 영역 전달자 를 구성합니다.
