O esquema de implementação com a delegação restringida Kerberos (KCD), necessita que o Servidor de Administração e o Servidor de MDM do iOS estejam localizados na rede interna da organização.
Este esquema de implementação fornece para o seguinte:
Ao usar este esquema de implementação, você deve fazer o seguinte:
Você pode assegurar-se de que o certificado do usuário está em conformidade como o requisito de emissão CA usando um dos seguintes métodos:
Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:
Nome do serviço principal para http/iosmdm.mydom.local
No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configurar as propriedades de domínio do dispositivo com TMG (tmg.mydom.local)
Para delegar o tráfego, confie ao dispositivo TMG (tmg.mydom.local) ao serviço que é definido pelo SPN (http/iosmdm.mydom.local).
Para confiar o dispositivo com TMG ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:
Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)
Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.
Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).
Publicar o serviço da Web MDM do iOS no TMG
No TMG, para o tráfego que vai de um dispositivo móvel à porta 443 do iosmdm.mydom.global, você tem de configurar KCD no SPN (http/iosmdm.mydom.local), usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.