نظام النشر الذي يتضمن تفويض Kerberos مقيّد (KCD)

لاستخدام مخطط النشر مع تفويض Kerberos المقيد (KCD)، يجب تلبية المتطلبات التالية:

• يوجد خادم الإدارة وخادم iOS MDM على الشبكة الداخلية للمؤسسة.
• يتم استخدام جدار حماية خاص بالشركة يدعم KCD.‏

يعمل نظام النشر هذا على ما يلي:

• التكامل مع جدار حماية الشركة الذي يدعم KCD
• استخدام KCD لمصادقة الأجهزة المحمولة
• التكامل مع PKI لتطبيق شهادات المستخدم

عند استخدام نظام النشر هذا، يجب عليك القيام بما يلي:

• في وحدة تحكم الإدارة، في إعدادات خدمة iOS MDM على الويب، حدد خانة الاختيار ضمان التوافق مع تفويض Kerberos المقيد.
• بالنسبة لشهادة خدمة iOS MDM على الويب، حدد الشهادة المخصصة التي تم تحديدها عندما تم نشر خدمة iOS MDM على الويب على جدار الحماية الخاص بالشركة.
• يجب إصدار شهادات المستخدم لأجهزة iOS بواسطة هيئة إصدار الشهادات (CA) الخاصة بالمجال. إذا كان المجال يحتوي على هيئات إصدار شهادات جذر متعددة، يجب إصدار الشهادة بواسطة هيئة إصدار الشهادات التي تم تحديدها عندما تم نشر خدمة iOS MDM على الويب على جدار الحماية الخاص بالشركة.

  يمكنك التأكد أن شهادة المستخدم متوافقة مع متطلب إصدار هيئة إصدار الشهادات عن طريق استخدام طريقة من الطرق التالية:

  • حدد شهادة المستخدم في معالج ملف تعريف iOS MDM الجديد وفي معالج تثبيت الشهادة.
  • دمج خادم الإدارة مع البنية الأساسية للمفتاح العام (PKI) وتحديد الإعداد المقابل في قواعد إصدار الشهادات:
    1. في شجرة وحدة التحكم، قم بتوسيع المجلد إدارة الجهاز المحمول، وحدد المجلد الفرعي الشهادات.
    2. في مساحة عمل المجلد الشهادات، انقر فوق الزر تكوين قواعد إصدار الشهادات لفتح النافذة قواعد إصدار الشهادات.
    3. في القسم التكامل مع PKI، قم بتكوين التكامل مع البنية الأساسية للمفتاح العام (PKI).‏
    4. في القسم إصدار شهادات المحمول، حدد مصدر الشهادات.

يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:

• خدمة iOS MDM على الويب قيد التشغيل على المنفذ 443
• اسم الجهاز المزود بجدار الحماية الخاص بالشركة هو firewall.mydom.local.‏
• اسم الجهاز الذي يحتوي على خدمة iOS MDM على الويب هو iosmdm.mydom.local.‏
• اسم النشر الخارجي لخدمة iOS MDM على الويب هو iosmdm.mydom.global.‏

الاسم الأساسي للخدمة لـ http/iosmdm.mydom.local

في المجال، يجب عليك تسجيل الاسم الأساسي للخدمة (SPN) للجهاز الذي يحتوي على خدمة iOS MDM على الويب (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

تكوين خصائص المجال للجهاز باستخدام جدار الحماية الخاص بالشركة (firewall.mydom.local)

لتفويض حركة المرور، قم باعتماد الجهاز الذي يحتوي على جدار الحماية الخاص بالشركة (firewall.mydom.local)‎ إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local)‎.

لاعتماد الخدمة التي تحتوي على جدار الحماية الخاص بالشركة إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local)‎، يجب أن يقوم المسؤول بالإجراءات التالية:

1. في أداة الإضافة في Microsoft Management Console التي تحمل الاسم "مستخدمو وأجهزة كمبيوتر Active Directory"، حدد الجهاز المثبّت عليه جدار الحماية الخاص بالشركة (firewall.mydom.local)‎.
2. في خصائص الجهاز، من علامة التبويب التفويض، قم بتعيين مؤشر التبديل اعتماد هذا الكمبيوتر للتفويض إلى الخدمة المحددة فقط إلى استخدام أي بروتوكول مصادقة.
3. أضف SPN (http/iosmdm.mydom.local)‎ إلى قائمة الخدمات التي يمكن لهذا الجهاز تقديم بيانات الاعتماد المفوضة لها.‏

شهادة خاصة (مخصصة) لخدمة الويب المنشورة (iosmdm.mydom.global)

يجب عليك إصدار شهادة خاصة (مخصصة) لخدمة iOS MDM على الويب على FQDN iosmdm.mydom.global وحدد أنها تستبدل الشهادة الافتراضية في الإعدادات الخاصة بخدمة iOS MDM على الويب في وحدة تحكم الإدارة.

الرجاء ملاحظة أن حاوية الشهادة (ملف امتداده ‎p12 أو ‎pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).

نشر خدمة iOS MDM على الويب على جدار الحماية الخاص بالشركة

على جدار الحماية الخاص بالشركة، لحركة المرور التي تنتقل من جهاز محمول إلى المنفذ 443 الخاص بـ iosmdm.mydom.global، يجب عليك تكوين KCD على SPN (http/iosmdm.mydom.local)‎، باستخدام الشهادة التي تم إصدارها لـ FQDN (iosmdm.mydom.global)‎. الرجاء ملاحظة أن عملية النشر هذه وخدمة الويب التي تم نشرها يجب أن يتشاركا في شهادة الخادم نفسها.