4.2. 规划 DNS 域名和 Kerberos 域名和 Kerberos 域名的指南
安装第一个身份管理 (IdM) 服务器时,安装会提示输入 IdM 域的主 DNS 名称和 Kerberos 域名称。这些指南可帮助您正确设置名称。
警告
您将无法在安装该服务器后更改 IdM 主域名和 Kerberos 域名称。不要希望通过更改名称从测试环境移到生产环境,例如从 lab.example.com 更改为 production.example.com。
- 服务记录的独立 DNS 域
- 确保用于 IdM 的主 DNS 域不与任何其他系统共享。这有助于避免 DNS 级别的冲突。
- 正确的 DNS 域名委托
- 确定您在 DNS 域的公共 DNS 树中具有有效委托。不要使用没有委托给您的域名,即使是在私有网络中。
- 多标签 DNS 域
-
不要使用单标签域名,如
.company。IdM 域必须由一个或多个子域和一个顶级域组成,如example.com或company.example.com。 - 唯一的 Kerberos 域名
- 确保域名不与任何其他现有 Kerberos 域名称冲突,例如 Active Directory (AD) 使用的名称。
- Kerberos realm name 是主 DNS 名称的大写版本
考虑把 realm 的名称设置为主(primary)DNS 域名 (
example.com) 的大写形式(EXAMPLE.COM)。警告如果您没有将 Kerberos 域名设置为主 DNS 名称的大写版本,则将无法使用 AD 信任。
有关规划 DNS 域名和 Kerberos 域名的附加备注
- 一个 IdM 部署总是代表一个 Kerberos 域。
-
您可以从多个不同 DNS 域(
example.com、example.net、example.org)把 IdM 客户端加入到单个 Kerberos realm (EXAMPLE.COM)。 IdM 客户端不需要位于主 DNS 域中。例如,如果 IdM 域是
idm.example.com,客户端可以位于client.example.com域中,但必须在 DNS 域和 Kerberos 域之间配置清晰的映射。注意创建映射的标准方法是使用 _kerberos TXT DNS 记录。IdM 集成的 DNS 会自动添加这些记录。
规划 DNS 转发
- 如果要对整个 IdM 部署只使用一个转发器,请配置 全局转发器。
- 如果您的公司在分布在地理位置分散的多个位置,那么全局转发器可能是不切实际的。配置 每台服务器转发器.
- 如果您的公司有一个无法从公共互联网解析的内部 DNS 网络,请配置一个 forward zone 和 zone forwarders,以便 IdM 域中的主机可以解析其他内部 DNS 网络上的主机。
