涉及 Kerberos constrained delegation (KCD) 的佈署方案

涉及 Kerberos constrained delegation (KCD) 的佈署方案需要管理伺服器和 iOS MDM 伺服器位於內部組織網路。

此佈署方案提供以下內容：

• 與 Microsoft Forefront TMG 的整合
• 使用 KCD 對行動裝置做身分驗證
• 與 PKI 整合以套用使用者憑證

當使用該佈署方案時，您必須做以下操作：

• 在管理主控台，在 iOS MDM Web 服務設定中，選取確認與 Kerberos Constrained Delegation 相容核取方塊。
• 作為 iOS MDM Web 服務的憑證，指定當 iOS MDM Web 服務發佈在 TMG 時定義的自訂憑證。
• iOS 裝置的使用者憑證必須由網域中的 Certificate Authority (CA) 發佈。如果網域包含多個根 CAs，使用者憑證必須由當 iOS MDM Web 服務發佈在 TMG 時指定的 CA 發佈。

  您可以透過以下方法確保使用者憑證與 CA 發佈需求相容：

  • 在新增 iOS MDM 設定檔精靈和憑證安裝精靈中指定使用者憑證。
  • 將管理伺服器與網域的 PKI 整合並在憑證發佈規則中定義對應的設定：
    1. 在主控台樹狀目錄中，展開行動裝置管理資料夾與憑證子資料夾。
    2. 在憑證資料夾中點擊配置憑證發佈規則按鈕，開啟憑證發佈規則視窗。
    3. 在與 PKI 整合區域，配置與公共金鑰基礎架構的整合。
    4. 在行動憑證發佈區域，指定憑證來源。

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子：

• iOS MDM Web 服務正執行在連接埠 443。
• TMG 裝置名稱是 tmg.mydom.local。
• iOS MDM Web 服務裝置名稱是 iosmdm.mydom.local。
• iOS MDM Web 服務的外部發佈名稱是 iosmdm.mydom.global。

http/iosmdm.mydom.local 的服務主體名稱

在網域中，您必須為 iOS MDM Web 服務裝置註冊服務主體名稱 (SPN) (iosmdm.mydom.local)：

setspn -a http/iosmdm.mydom.local iosmdm

配置 TMG 裝置的網域內容 (tmg.mydom.local)

要授權流量，信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)。

要信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)，管理員必須執行以下操作：

1. 在名稱為“Active Directory 使用者和電腦”的 Microsoft Management Console 中，選取安裝了 TMG 的裝置 (tmg.mydom.local)。
2. 在裝置內容視窗，在授權標籤，設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議。
3. 新增 SPN (http/iosmdm.mydom.local) 到該帳戶可以展示已授權憑證的服務清單。

已發佈 Web 服務的特殊（自訂）憑證 (iosmdm.mydom.global)

您必須在 FQDN iosmdm.mydom.global 上為 iOS MDM Web 服務發佈特殊（自訂）憑證，並在管理主控台的 iOS MDM Web 服務設定中指定它取代預設憑證。

請注意憑證容器（帶有 p12 或 .pfx 副檔名的檔案）必須也包含根憑證鏈（公共金鑰）。

在 TMG 上發佈 iOS MDM Web 服務

在 TMG 上，對於從行動裝置到 iosmdm.mydom.global 連接埠 443 的流量，您必須在 SPN (http/iosmdm.mydom.local) 上配置 KCD，使用為 FQDN (iosmdm.mydom.global) 發佈的憑證。請注意，正發佈和已發佈的 Web 服務必須共用相同的伺服器憑證。

另請參閱： 標準配置：DMZ 中的 Kaspersky Device Management for iOS 與公共金鑰基礎架構整合

頁頂