Red Hat Training

A Red Hat training course is available for RHEL 8

3.2. Diretrizes para o planejamento do nome de domínio DNS e do nome do reino Kerberos

Ao instalar o primeiro servidor de Gerenciamento de Identidade (IdM), a instalação solicita um nome DNS primário do domínio IdM e o nome do reino Kerberos. As diretrizes nesta seção podem ajudá-lo a definir os nomes corretamente.

Atenção

Você não poderá mudar o nome de domínio primário do IdM e o nome do reino Kerberos depois que o servidor já estiver instalado. Não espere ser capaz de passar de um ambiente de teste para um ambiente de produção mudando os nomes, por exemplo, de lab.example.com para production.example.com.

Um domínio DNS separado para registros de serviço
Garantir que o primary DNS domain utilizado para a IdM não seja compartilhado com nenhum outro sistema. Isto ajuda a evitar conflitos no nível do DNS.
Delegação apropriada de nomes de domínio DNS
Assegure-se de ter uma delegação válida na árvore pública do DNS para o domínio DNS. Não utilize um nome de domínio que não seja delegado a você, nem mesmo em uma rede privada.
Domínio DNS multi-label
Não utilize nomes de domínio com rótulo único, por exemplo .company. O domínio IdM deve ser composto por um ou mais subdomínios e um domínio de nível superior, por exemplo example.com ou company.example.com.
Um nome único do reino de Kerberos
Garantir que o nome do reino não esteja em conflito com nenhum outro nome existente do reino Kerberos, como um nome usado pelo Active Directory (AD).
Nome do reino Kerberos como uma versão em maiúsculas do nome DNS primário

Considere definir o nome do reino para uma maiúscula (EXAMPLE.COM) versão do nome de domínio DNS primário (example.com).

Atenção

Se você não definir o nome do reino Kerberos como a versão em maiúsculas do nome DNS primário, você não poderá usar os trusts AD.

Notas adicionais sobre o planejamento do nome de domínio DNS e do nome do reino Kerberos

  • Uma implantação da IdM sempre representa um reino Kerberos.
  • Você pode se juntar a clientes da IdM a partir de vários domínios DNS distintos (example.com, example.net, example.org) para um único reino de Kerberos (EXAMPLE.COM).

  • Os clientes da IdM não precisam estar no domínio DNS primário. Por exemplo, se o domínio IdM for idm.example.comos clientes podem estar no clients.example.com mas um mapeamento claro deve ser configurado entre o domínio DNS e o reino de Kerberos.

    Nota

    O método padrão para criar o mapeamento é usar os registros DNS do _kerberos TXT. O DNS integrado do IdM adiciona estes registros automaticamente.