Для использования схемы развертывания с принудительным делегированием Kerberos Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.
Эта схема развертывания предполагает:
При использовании этой схемы развертывания следует учесть следующее:
Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:
Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:
Service Principal Name для http/iosmdm.mydom.local
В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Настройка доменных свойств устройств с TMG (tmg.mydom.local)
Для делегирования трафика доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).
Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:
Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)
Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.
Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).
Публикации веб-службы iOS MDM на TMG
На TMG для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.