Esquema de implementação envolvendo a delegação de restrição Kerberos (KCD)

O esquema de implementação com a delegação restringida Kerberos (KCD), necessita que o Servidor de Administração e o Servidor de MDM do iOS estejam localizados na rede interna da organização.

Este esquema de implementação fornece para o seguinte:

Ao usar este esquema de implementação, você deve fazer o seguinte:

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

Nome do serviço principal para http/iosmdm.mydom.local

No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurar as propriedades de domínio do dispositivo com TMG (tmg.mydom.local)

Para delegar o tráfego, confie ao dispositivo TMG (tmg.mydom.local) ao serviço que é definido pelo SPN (http/iosmdm.mydom.local).

Para confiar o dispositivo com TMG ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:

  1. No snap-in Microsoft Management Console nomeado "Active Directory Users and Computers", selecione o dispositivo com o TMG instalado (tmg.mydom.local).
  2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
  3. Adicione o SPN (http/iosmdm.mydom.local) à lista Serviços aos quais esta conta possa apresentar credenciais delegadas.

Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)

Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.

Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Publicar o serviço da Web MDM do iOS no TMG

No TMG, para o tráfego que vai de um dispositivo móvel à porta 443 do iosmdm.mydom.global, você tem de configurar KCD no SPN (http/iosmdm.mydom.local), usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.

Consulte também:

Configuração padrão: Kaspersky Device Management for iOS no DMZ

Integração com a infraestrutura de chaves públicas

Topo da página