Menu Close

4.2. 规划 DNS 域名和 Kerberos 域名和 Kerberos 域名的指南

安装第一个身份管理 (IdM) 服务器时,安装会提示输入 IdM 域的主 DNS 名称和 Kerberos 域名称。本节中的指南可帮助您正确设置名称。

警告

您将无法在安装该服务器后更改 IdM 主域名和 Kerberos 域名称。不要希望通过更改名称从测试环境移到生产环境,例如从 lab.example.com 更改为 production.example.com

服务记录的独立 DNS 域
确保用于 IdM 的主 DNS 域不与任何其他系统共享。这有助于避免 DNS 级别的冲突。
正确的 DNS 域名委托
确定您在 DNS 域的公共 DNS 树中具有有效委托。不要使用没有委托给您的域名,即使是在私有网络中。
多标签 DNS 域
不要使用单标签域名,如 .company。IdM 域必须由一个或多个子域和一个顶级域组成,如 example.comcompany.example.com
唯一的 Kerberos 域名
确保域名不与任何其他现有 Kerberos 域名称冲突,例如 Active Directory (AD) 使用的名称。
Kerberos realm name 是主 DNS 名称的大写版本

考虑把 realm 的名称设置为主(primary)DNS 域名 (example.com) 的大写形式(EXAMPLE.COM)。

警告

如果您没有将 Kerberos 域名设置为主 DNS 名称的大写版本,则将无法使用 AD 信任。

有关规划 DNS 域名和 Kerberos 域名的附加备注

  • 一个 IdM 部署总是代表一个 Kerberos 域。
  • 您可以从多个不同 DNS 域(example.comexample.netexample.org)把 IdM 客户端加入到单个 Kerberos realm (EXAMPLE.COM)。
  • IdM 客户端不需要位于主 DNS 域中。例如,如果 IdM 域是 idm.example.com,客户端可以位于 client.example.com 域中,但必须在 DNS 域和 Kerberos 域之间配置清晰的映射。

    注意

    创建映射的标准方法是使用 _kerberos TXT DNS 记录。IdM 集成的 DNS 会自动添加这些记录。

规划 DNS 转发

  • 如果要对整个 IdM 部署只使用一个转发器,请配置 全局转发器
  • 如果您的公司在分布在地理位置分散的多个位置,那么全局转发器可能是不切实际的。配置 每台服务器转发器.
  • 如果您的公司有一个无法从公共互联网解析的内部 DNS 网络,请配置一个 forward zonezone forwarders,以便 IdM 域中的主机可以解析其他内部 DNS 网络上的主机。