Kerberos 제한 위임(KCD)을 사용하는 배포 구성

Kerberos 제한 위임(KCD)을 사용하는 배포 구성의 경우 중앙 관리 서버와 iOS MDM 서버가 내부 조직 네트워크에 있어야 합니다.

이 배포 구성에서는 다음과 같은 기능을 제공합니다:

이 배포 구성을 사용할 때는 다음 작업을 수행해야 합니다:

아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:

http/iosmdm.mydom.local의 서비스 사용자 이름

도메인에서 iOS MDM 웹 서비스가 설치된 기기(iosmdm.mydom.local)의 서비스 사용자 이름(SPN)을 등록해야 합니다:

setspn -a http/iosmdm.mydom.local iosmdm

TMG가 설치된 기기(tmg.mydom.local)의 도메인 속성 구성

트래픽을 위임하려면 SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 TMG가 설치된 기기(tmg.mydom.local)를 신뢰하도록 설정합니다.

SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 TMG가 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:

  1. Microsoft Management Console 스냅인 "Active Directory 사용자 및 컴퓨터"에서 TMG가 설치된 기기(tmg.mydom.local)를 선택합니다.
  2. 기기 속성의 위임 탭에서 지정한 서비스로만 위임하도록 이 컴퓨터 신뢰 토글을 모든 인증 프로토콜 사용으로 설정합니다.
  3. SPN(http/iosmdm.mydom.local)을 이 계정이 위임된 자격증명을 제공할 수 있는 서비스 목록에 추가합니다.

게시된 웹 서비스(iosmdm.mydom.global)용 특수(사용자 지정) 인증서

FQDN iosmdm.mydom.global의 iOS MDM 웹 서비스용으로 특수(사용자 지정) 인증서를 발급해야 하며, 관리 콘솔의 iOS MDM 웹 서비스 설정에서 기본 인증서가 해당 인증서로 교체됨을 지정해야 합니다.

인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.

TMG에서 iOS MDM 웹 서비스 게시

TMG에서 모바일 기기로부터 iosmdm.mydom.global의 포트 443으로 전송되는 트래픽에 대해 FQDN(iosmdm.mydom.global)용으로 발급된 인증서를 사용하여 SPN(http/iosmdm.mydom.local)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 웹 서비스는 같은 서버 인증서를 공유해야 합니다.

참고 항목:

표준 구성: DMZ에 위치한 Kaspersky Device Management for iOS

공개 키 인프라와의 통합

맨 위로