Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

Per utilizzare lo schema di distribuzione con la delega vincolata Kerberos (KCD), è necessario soddisfare i seguenti requisiti:

Questo schema di distribuzione offre quanto segue:

Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

Nome dell'entità servizio per http/iosmdm.mydom.local

Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:

  1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
  2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
  3. Aggiungere l'SPN (http/iosmdm.mydom.local) all'elenco Servizi ai quali l'account può presentare credenziali delegate.

Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)

È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.

Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Pubblicazione del servizio Web MDM iOS nel proxy inverso

Nel proxy inverso, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.

Vedere anche:

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Integrazione con PKI (Public Key Infrastructure)

Inizio pagina