7.12. 为 IdM-AD 信任建立 DNS 的指南
这些规则可帮助您获得正确的 DNS 配置,从而在 Identity Management (IdM) 和 Active Directory (AD) 之间建立跨林信任。
- 唯一的主 DNS 域
确保 AD 和 IdM 都有它们自己配置的唯一主 DNS 域。例如:
-
ad.example.com
用于 AD,Idm.example.com
用于 IdM。 -
example.com
用于 AD,idm.example.com
用于 IdM
最方便的管理解决方案是,每个 DNS 域都由集成 DNS 服务器管理,但也可以使用任何其他标准兼容的 DNS 服务器。
-
- IdM 和 AD DNS 域
- 加入 IdM 的系统可以通过多个 DNS 域进行发布。红帽建议您在与 Active Directory 拥有的 DNS 区域中部署 IdM 客户端。主 IdM DNS 域必须具有正确的 SRV 记录来支持 AD 信任。
在 IdM 和 Active Directory 之间具有信任的某些环境中,您可以在作为 Active Directory DNS 域一部分的主机上安装 IdM 客户端。然后,主机可以从基于 Linux 的 IdM 功能中获益。这不是推荐的配置,存在一些限制。如需了解更多详细信息,请参阅在 Active Directory DNS 域中配置 IdM 客户端。
- 正确的 SRV 记录
确定主 IdM DNS 域有正确的 SRV 记录来支持 AD 信任。
对于同一 IdM 网域一部分的其他 DNS 域,在建立对 AD 的信任时不必配置 SRV 记录。原因在于 AD 域控制器不使用 SRV 记录来发现 Kerberos 密钥分发中心 (KDC),而是基于信任名称后缀路由信息的 KDC 发现。
- DNS 记录可从信任中的所有 DNS 域解析
确定所有机器都可以从所有涉及信任关系的 DNS 域解析 DNS 记录:
- 在配置 IdM DNS 时,请按照使用外部 CA 安装 IdM 服务器所述进行操作。
- 如果您在没有集成 DNS 的情况下使用 IdM,请按照在没有集成 DNS 的情况下安装 IdM 服务器的内容进行操作。
- Kerberos realm 名称作为主 DNS 域名的大写版本
-
确定 Kerberos 域名称与主 DNS 域名相同,且所有字母都为大写。例如,如果 AD 的域名为
ad.example.com
, IdM 为idm.example.com
,则 Kerberos 域名称必须是AD.EXAMPLE.COM
和IDM.EXAMPLE.COM
。