Para usar o esquema de implementação com a delegação de restrição Kerberos (KCD), os seguintes requisitos devem ser atendidos:
Este esquema de implementação fornece para o seguinte:
Ao usar este esquema de implementação, você deve fazer o seguinte:
Você pode assegurar-se de que o certificado do usuário está em conformidade como o requisito de emissão CA usando um dos seguintes métodos:
Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:
Nome do serviço principal para http/iosmdm.mydom.local
No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configuração das propriedades de domínio do dispositivo com o proxy reverso (firewall.mydom.local)
Para delegar o tráfego, confie o dispositivo com o proxy reverso (firewall.mydom.local) ao serviço definido pelo SPN (http/iosmdm.mydom.local).
Para confiar o dispositivo com o proxy reverso ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:
Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)
Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.
Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).
Publicação do serviço da Web de MDM do iOS no proxy reverso
No proxy reverso, para o tráfego que vai de um dispositivo móvel para a porta 443 do iosmdm.mydom.global, é necessário configurar a KCD no SPN (http/iosmdm.mydom.local) usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.