Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Чтобы использовать схему развертывания с ограниченным делегированием Kerberos (KCD), должны быть выполнены следующие требования:

Эта схема развертывания предполагает:

При использовании этой схемы развертывания следует учесть следующее:

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

Service Principal Name для http/iosmdm.mydom.local

В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика можно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/iosmdm.mydom.local), администратору нужно выполнить следующие действия:

  1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
  2. В свойствах устройства на вкладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
  3. В список Services to which this account can present delegated credentials добавить SPN http/iosmdm.mydom.local.

Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).

Публикации веб-службы iOS MDM на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.

См. также:

Типовая конфигурация: Kaspersky Device Management для iOS в демилитаризованной зоне

Интеграция с инфраструктурой открытых ключей

В начало