Schemat zdalnej instalacji z użyciem delegowania protokołu Kerberos (KCD)

Aby móc korzystać ze schematu wdrażania z Kerberos Constrained Delegation (KCD), muszą zostać spełnione następujące wymagania:

Ten schemat instalacji obejmuje:

Podczas korzystania z tego schematu zdalnej instalacji należy:

Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:

Nazwa główna usługi dla http/iosmdm.mydom.local

W domenie należy zarejestrować nazwę główną usługi (SPN) dla urządzenia z usługą sieciową iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Konfiguracja właściwości domeny urządzenia z odwrotnym serwerem proxy (firewall.mydom.local)

Aby przeprowadzić ruch sieciowy, przełącz urządzenie z odwrotnym serwerem proxy (firewall.mydom.local) do usługi, która jest definiowana po SPN (http/iosmdm.mydom.local).

W celu przełączenia urządzenia z odwrotnego serwera proxy do usługi definiowanej po SPN (http/iosmdm.mydom.local), administrator musi wykonać następujące działania:

  1. W przystawce Microsoft Management Console o nazwie „Użytkownicy i komputery usługi Active Directory” wybierz urządzenie z zainstalowanym odwrotnym serwerem proxy (firewall.mydom.local).
  2. We właściwościach urządzenia, na zakładce Delegowanie ustaw przełącznik Ufaj temu komputerowi w delegowaniu tylko do określonych usług na Użyj dowolnego protokołu uwierzytelniania.
  3. Dodaj SPN (http/iosmdm.mydom.local) do listy Usługi, którym to konto może przedstawiać delegowane poświadczenia.

Specjalny (niestandardowy) certyfikat dla opublikowanej usługi sieciowej (iosmdm.mydom.global)

Konieczne jest opublikowanie specjalnego (niestandardowego) certyfikatu dla usługi sieciowej iOS MDM na FQDN iosmdm.mydom.global i określić w Konsoli administracyjnej, w ustawieniach usługi sieciowej iOS MDM, że zastępuje on domyślny certyfikat.

Należy pamiętać, że kontener certyfikatów (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).

Publikowanie usługi sieciowej iOS MDM na odwrotnym serwerze proxy

Na odwrotnym serwerze proxy, dla ruchu przechodzącego z urządzenia mobilnego do portu 443 usługi iosmdm.mydom.global należy skonfigurować KCD na SPN (http/iosmdm.mydom.local), korzystając z certyfikatu opublikowanego dla FQDN (iosmdm.mydom.global). Nie można zapominać, że publikacja oraz opublikowana usługa sieciowa powinny korzystać z tego samego certyfikatu serwera.

Zobacz również:

Standardowa konfiguracja: Kaspersky Device Management for iOS w strefie DMZ

Integracja z infrastrukturą kluczy publicznych

Przejdź do góry