搜索

7.12. 为 IdM-AD 信任建立 DNS 的指南

download PDF

这些规则可帮助您获得正确的 DNS 配置,从而在 Identity Management (IdM) 和 Active Directory (AD) 之间建立跨林信任。

唯一的主 DNS 域

确保 AD 和 IdM 都有它们自己配置的唯一主 DNS 域。例如:

  • ad.example.com 用于 AD,Idm.example.com 用于 IdM。
  • example.com 用于 AD,idm.example.com 用于 IdM

最方便的管理解决方案是,每个 DNS 域都由集成 DNS 服务器管理,但也可以使用任何其他标准兼容的 DNS 服务器。

IdM 和 AD DNS 域
加入 IdM 的系统可以通过多个 DNS 域进行发布。红帽建议您在与 Active Directory 拥有的 DNS 区域中部署 IdM 客户端。主 IdM DNS 域必须具有正确的 SRV 记录来支持 AD 信任。
注意

在 IdM 和 Active Directory 之间具有信任的某些环境中,您可以在作为 Active Directory DNS 域一部分的主机上安装 IdM 客户端。然后,主机可以从基于 Linux 的 IdM 功能中获益。这不是推荐的配置,存在一些限制。如需了解更多详细信息,请参阅在 Active Directory DNS 域中配置 IdM 客户端

正确的 SRV 记录

确定主 IdM DNS 域有正确的 SRV 记录来支持 AD 信任。

对于同一 IdM 网域一部分的其他 DNS 域,在建立对 AD 的信任时不必配置 SRV 记录。原因在于 AD 域控制器不使用 SRV 记录来发现 Kerberos 密钥分发中心 (KDC),而是基于信任名称后缀路由信息的 KDC 发现。

DNS 记录可从信任中的所有 DNS 域解析

确定所有机器都可以从所有涉及信任关系的 DNS 域解析 DNS 记录:

Kerberos realm 名称作为主 DNS 域名的大写版本
确定 Kerberos 域名称与主 DNS 域名相同,且所有字母都为大写。例如,如果 AD 的域名为 ad.example.com, IdM 为 idm.example.com,则 Kerberos 域名称必须是 AD.EXAMPLE.COMIDM.EXAMPLE.COM
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.