Aby móc korzystać ze schematu wdrażania z Kerberos Constrained Delegation (KCD), muszą zostać spełnione następujące wymagania:
Ten schemat instalacji obejmuje:
Podczas korzystania z tego schematu zdalnej instalacji należy:
Możesz zapewnić, że certyfikat użytkownika jest zgodny z wymaganiami wystawiania certyfikatów urzędu certyfikacji przy użyciu jednej z następujących metod:
Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:
Nazwa główna usługi dla http/iosmdm.mydom.local
W domenie należy zarejestrować nazwę główną usługi (SPN) dla urządzenia z usługą sieciową iOS MDM (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Konfiguracja właściwości domeny urządzenia z odwrotnym serwerem proxy (firewall.mydom.local)
Aby przeprowadzić ruch sieciowy, przełącz urządzenie z odwrotnym serwerem proxy (firewall.mydom.local) do usługi, która jest definiowana po SPN (http/iosmdm.mydom.local).
W celu przełączenia urządzenia z odwrotnego serwera proxy do usługi definiowanej po SPN (http/iosmdm.mydom.local), administrator musi wykonać następujące działania:
Specjalny (niestandardowy) certyfikat dla opublikowanej usługi sieciowej (iosmdm.mydom.global)
Konieczne jest opublikowanie specjalnego (niestandardowego) certyfikatu dla usługi sieciowej iOS MDM na FQDN iosmdm.mydom.global i określić w Konsoli administracyjnej, w ustawieniach usługi sieciowej iOS MDM, że zastępuje on domyślny certyfikat.
Należy pamiętać, że kontener certyfikatów (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).
Publikowanie usługi sieciowej iOS MDM na odwrotnym serwerze proxy
Na odwrotnym serwerze proxy, dla ruchu przechodzącego z urządzenia mobilnego do portu 443 usługi iosmdm.mydom.global należy skonfigurować KCD na SPN (http/iosmdm.mydom.local), korzystając z certyfikatu opublikowanego dla FQDN (iosmdm.mydom.global). Nie można zapominać, że publikacja oraz opublikowana usługa sieciowa powinny korzystać z tego samego certyfikatu serwera.