نظام النشر الذي يتضمن تفويض Kerberos مقيّد (KCD)

يتطلب نظام النشر باستخدام تفويض Kerberos المقيّد (KCD) وجود خادم الإدارة وخادم الأجهزة المحمولة التي تعمل بنظام iOS MDM على إنترانت المؤسسة.

يعمل نظام النشر هذا على ما يلي:

• التكامل مع Microsoft Forefront TMG
• استخدام KCD لمصادقة الأجهزة المحمولة
• التكامل مع PKI لتطبيق شهادات المستخدم

عند استخدام نظام النشر هذا، يجب عليك القيام بما يلي:

• في وحدة تحكم الإدارة، في إعدادات خدمة iOS MDM على الويب، حدد خانة الاختيار ضمان التوافق مع تفويض Kerberos المقيد.
• بالنسبة لشهادة خدمة iOS MDM على الويب، حدد الشهادة المخصصة التي تم تحديدها عندما تم نشر خدمة iOS MDM على الويب على TMG.‏
• يجب إصدار شهادات المستخدم لأجهزة iOS بواسطة هيئة إصدار الشهادات (CA) الخاصة بالمجال. إذا كان المجال يحتوي على هيئات إصدار شهادات جذر متعددة، يجب إصدار الشهادة بواسطة هيئة إصدار الشهادات التي تم تحديدها عندما تم نشر خدمة iOS MDM على الويب على TMG.‏

  يمكنك التأكد أن شهادة المستخدم متوافقة مع متطلب إصدار هيئة إصدار الشهادات عن طريق استخدام طريقة من الطرق التالية:

  • حدد شهادة المستخدم في معالج ملف تعريف iOS MDM الجديد وفي معالج تثبيت الشهادة.
  • دمج خادم الإدارة مع البنية الأساسية للمفتاح العام (PKI) وتحديد الإعداد المقابل في قواعد إصدار الشهادات:
    1. في شجرة وحدة التحكم، قم بتوسيع المجلد إدارة الجهاز المحمول، وحدد المجلد الفرعي الشهادات.
    2. في مساحة عمل المجلد الشهادات، انقر فوق الزر تكوين قواعد إصدار الشهادات لفتح النافذة قواعد إصدار الشهادات.
    3. في القسم التكامل مع PKI، قم بتكوين التكامل مع البنية الأساسية للمفتاح العام (PKI).‏
    4. في القسم إصدار شهادات المحمول، حدد مصدر الشهادات.

يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:

• خدمة iOS MDM على الويب قيد التشغيل على المنفذ 443
• اسم الجهاز الذي يحتوي على TMG هو tmg.mydom.local.‏
• اسم الجهاز الذي يحتوي على خدمة iOS MDM على الويب هو iosmdm.mydom.local.‏
• اسم النشر الخارجي لخدمة iOS MDM على الويب هو iosmdm.mydom.global.‏

الاسم الأساسي للخدمة لـ http/iosmdm.mydom.local

في المجال، يجب عليك تسجيل الاسم الأساسي للخدمة (SPN) للجهاز الذي يحتوي على خدمة iOS MDM على الويب (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

تكوين خصائص المجال الخاصة بالجهاز الذي يحتوي على TMG (tmg.mydom.local)

لتفويض حركة المرور، قم باعتماد الجهاز الذي يحتوي على TMG (tmg.mydom.local)‎ إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local)‎.

لاعتماد الخدمة التي تحتوي على TMG إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local)‎، يجب أن يقوم المسؤول بالإجراءات التالية:

1. في أداة الإضافة الخاصة بـ Microsoft Management Console التي تحمل الاسم "مستخدمو وأجهزة كمبيوتر Active Directory"، حدد الجهاز المثبّت عليه TMG (tmg.mydom.local)‎.
2. في خصائص الجهاز، من علامة التبويب التفويض، قم بتعيين مؤشر التبديل اعتماد هذا الكمبيوتر للتفويض إلى الخدمة المحددة فقط إلى استخدام أي بروتوكول مصادقة.
3. أضف SPN (http/iosmdm.mydom.local)‎ إلى قائمة الخدمات التي يمكن لهذا الجهاز تقديم بيانات الاعتماد المفوضة لها.‏

شهادة خاصة (مخصصة) لخدمة الويب المنشورة (iosmdm.mydom.global)

يجب عليك إصدار شهادة خاصة (مخصصة) لخدمة iOS MDM على الويب على FQDN iosmdm.mydom.global وحدد أنها تستبدل الشهادة الافتراضية في الإعدادات الخاصة بخدمة iOS MDM على الويب في وحدة تحكم الإدارة.

الرجاء ملاحظة أن حاوية الشهادة (ملف امتداده ‎p12 أو ‎pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).

نشر خدمة iOS MDM على الويب على TMG

على بوابة TMG، بالنسبة لحركة المرور التي تنتقل من جهاز محمول إلى المنفذ 443 الخاص بـ iosmdm.mydom.global، يجب عليك تكوين KCD على SPN (http/iosmdm.mydom.local)‎، باستخدام الشهادة التي تم إصدارها لـ FQDN (iosmdm.mydom.global)‎. الرجاء ملاحظة أن عملية النشر هذه وخدمة الويب التي تم نشرها يجب أن يتشاركا في شهادة الخادم نفسها.