Red Hat Summit6.5. Configurando o DNS
Estas diretrizes podem ajudá-lo a obter a configuração DNS correta para estabelecer uma confiança cruzada entre o Gerenciamento de Identidade (IdM) e o Active Directory (AD).
- Domínios DNS primários exclusivos
Assegurar que tanto o AD quanto o IdM tenham seus próprios domínios DNS primários exclusivos configurados. Por exemplo:
-
ad.example.compara AD eidm.example.compara IdM -
example.compara AD eidm.example.compara IdM
A solução de gerenciamento mais conveniente é um ambiente onde cada domínio DNS é gerenciado por servidores DNS integrados, mas você também pode usar qualquer outro servidor DNS compatível com o padrão.
-
- Sem sobreposição entre os domínios DNS IdM e AD
- Os sistemas unidos à IdM podem ser distribuídos em vários domínios DNS. Assegurar que os domínios DNS que contêm clientes IdM não se sobreponham aos domínios DNS que contêm sistemas unidos à AD.
- Registros SRV adequados
Assegurar que o domínio DNS principal da IdM tenha registros SRV adequados para suportar os trusts AD.
Para outros domínios DNS que fazem parte do mesmo domínio do IdM, os registros SRV não precisam ser configurados quando a confiança ao AD é estabelecida. A razão é que os controladores de domínio AD não usam os registros SRV para descobrir os centros de distribuição chave (KDCs) da Kerberos, mas baseiam a descoberta do KDC nas informações de roteamento do sufixo do nome para a confiança.
- Registros DNS resolvíveis a partir de todos os domínios DNS do trust
Garantir que todas as máquinas possam resolver registros DNS de todos os domínios DNS envolvidos na relação de confiança:
- Ao configurar o DNS do IdM, siga as instruções descritas em Instalação de um servidor IdM com uma CA externa.
- Se você estiver usando IdM sem DNS integrado, siga as instruções descritas em Instalação de um servidor IdM sem DNS integrado.
- Nomes do reino Kerberos como versões em caixa alta dos nomes de domínio DNS primários
-
Assegurar que os nomes do reino Kerberos sejam os mesmos que os nomes de domínio DNS primários, com todas as letras em maiúsculas. Por exemplo, se os nomes de domínio forem
ad.example.compara AD eidm.example.compara a IdM, os nomes do reino Kerberos devem serAD.EXAMPLE.COMeIDM.EXAMPLE.COM.
