Чтобы использовать схему развертывания с ограниченным делегированием Kerberos (KCD), должны быть выполнены следующие требования:
Эта схема развертывания предполагает:
При использовании этой схемы развертывания следует учесть следующее:
Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:
Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:
Service Principal Name для http/iosmdm.mydom.local
В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)
Для делегирования трафика можно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).
Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/iosmdm.mydom.local), администратору нужно выполнить следующие действия:
Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)
Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.
Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).
Публикации веб-службы iOS MDM на обратном прокси-сервере
На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.