涉及 Kerberos constrained delegation (KCD) 的佈署方案

若要使用具有 Kerberos 約束委派 (KCD) 的部署方案,必須符合下列要求:

此佈署方案提供以下內容:

當使用該佈署方案時,您必須做以下操作:

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:

http/iosmdm.mydom.local 的服務主體名稱

在網域中,您必須為 iOS MDM Web 服務裝置註冊服務主體名稱 (SPN) (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

配置具有反向代理的裝置的網域內容 (firewall.mydom.local)

要授權流量,信任反向代理裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)。

要信任反向代理裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local),管理員必須執行以下操作:

  1. 在名稱為「Active Directory 使用者和電腦」的 Microsoft Management Console 中,選取安裝了反向代理的裝置 (firewall.mydom.local)。
  2. 在裝置內容視窗,在授權頁籤,設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議
  3. 新增 SPN (http/iosmdm.mydom.local) 到該帳戶可以展示已授權憑證的服務清單。

已發佈 Web 服務的特殊(自訂)憑證 (iosmdm.mydom.global)

您必須在 FQDN iosmdm.mydom.global 上為 iOS MDM Web 服務發佈特殊(自訂)憑證,並在管理主控台的 iOS MDM Web 服務設定中指定它取代預設憑證。

請注意憑證容器(帶有 p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。

在反向代理上發佈 iOS MDM Web 服務

在反向代理上,對於從行動裝置到 iosmdm.mydom.global 連接埠 443 的流量,您必須在 SPN (http/iosmdm.mydom.local) 上配置 KCD,使用為 FQDN (iosmdm.mydom.global) 發佈的憑證。請注意,正發佈和已發佈的 Web 服務必須共用相同的伺服器憑證。

另請參閱:

標準配置:DMZ 中的 Kaspersky Device Management for iOS

與公共金鑰基礎架構整合

頁頂