Bereitstellungsschema unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

Für die Nutzung des Schemas zur Bereitstellung mit der erzwungener Delegierung Kerberos müssen sich der Administrationsserver und der iOS MDM-Server im internen Netzwerk des Unternehmens befinden.

Dieses Bereitstellungsschema setzt voraus:

Bei Verwendung dieses Bereitstellungsschemas muss Folgendes berücksichtigt werden:

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

Service Principal Name für http/iosmdm.mydom.local

In der Domäne muss der Service Principal Name (SPN) für das Gerät mit dem Webdienst iOS MDM (iosmdm.mydom.local) eingetragen werden:

setspn -a http/iosmdm.mydom.local iosmdm

Einstellungen der Domäneneigenschaften des Geräts mit TMG (tmg.mydom.local)

Für die Delegierung des Datenverkehres wird das Gerät mit TMG (tmg.mydom.local) dem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/iosmdm.mydom.local).

Um das Gerät mit TMG dem gemäß SPN bestimmten Dienst anzuvertrauen (http/iosmdm.mydom.local), muss der Administrator wie folgt vorgehen:

  1. Im Snap-in Microsoft Management Console "Active Directory Users and Computers" muss das Gerät mit installiertem TMG (tmg.mydom.local) ausgewählt werden.
  2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
  3. SPN http/iosmdm.mydom.local zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für den veröffentlichten Webdienst (iosmdm.mydom.global)

Für den Web-Dienst iOS MDM muss ein besonderes (benutzerspezifisches) Zertifikat auf FQDN iosmdm.mydom.global ausgestellt und in der Verwaltungskonsole anstatt des Standardzertifikats in den Einstellungen des Webdienstes iOS MDM angegeben werden.

Es muss berücksichtigt werden, dass im Container mit dem Zertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Veröffentlichungen des Webdienstes iOS MDM auf TMG

Auf TMG muss für den Datenverkehr, der von Seiten des mobilen Geräts auf den Port 443 iosmdm.mydom.global geht, KCD auf SPN http/iosmdm.mydom.local unter Verwendung des für FQDN iosmdm.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Webdienst ein und dasselbe Serverzertifikat verwendet werden muss.

Siehe auch:

Typische Konfiguration: Kaspersky Device Management für iOS in der DMZ

Integration mit Public Key Infrastructure

Nach oben