Schéma de déploiement avec utilisation de la délégation forcée Kerberos (KCD)

Pour utiliser le schéma de déploiement avec la délégation restreinte Kerberos (KCD), les conditions suivantes doivent être remplies :

• Le Serveur d'administration et le Serveur MDM iOS se trouvent sur le réseau interne de l'entreprise.
• Un pare-feu d'entreprise avec prise en charge de KCD est utilisé.

Ce schéma de déploiement suppose :

• Intégration avec le pare-feu d'entreprise qui prend en charge KCD
• Utilisation pour l'authentification des appareils mobiles de la délégation forcée Kerberos Constrained Delegation
• Intégration à l'infrastructure à clés publiques (PKI) pour l'utilisation des certificats utilisateurs

Lors de l'utilisation de ce schéma de déploiement, il faut tenir compte des points suivants :

• Dans la Console d'administration, cochez la case Assurer la conformité avec Kerberos Constraint Delegation dans les paramètres du service Internet MDM iOS.
• En guise de certificat du service Internet MDM iOS, il faut désigner le certificat spécial (personnalisé), défini sur le pare-feu d'entreprise lors de la publication du service Internet MDM iOS.
• Les certificats utilisateurs pour les appareils iOS doivent être émis par l'Autorité de certification du domaine (ci-après, l'AC). S'il existe plusieurs AC racine dans le domaine, les certificats utilisateurs doivent être émis par l'AC indiquée lors de la publication du service Internet MDM iOS sur le pare-feu d'entreprise.

  Il existe plusieurs moyens pour garantir la conformité du certificat utilisateur avec cette exigence :

  • Désigner le certificat utilisateur dans l'Assistant de création du profil MDM iOS et dans l'Assistant d'installation des certificats.
  • Intégrer le Serveur d'administration à la PKI du domaine et configurer le paramètre correspondant dans les règles d'émission des certificats :
    1. Dans l'arborescence de la console, développez le dossier Administration des appareils mobiles et sélectionnez le sous-dossier Certificats.
    2. Dans l'espace de travail du dossier Certificats, cliquez sur le bouton Configurer les règles d'émission des certificats pour ouvrir la fenêtre Règles d'émission des certificats.
    3. Configurez l'intégration à l'infrastructure à clé publique dans la section Intégration avec PKI.
    4. Dans la section Émission des certificats de messagerie, indiquez la source des certificats.

Voyons l'exemple de configuration de la délégation restreinte KCD avec les conditions suivantes :

• Le service Internet MDM iOS est lancé sur le port 443.
• Le nom de l'appareil doté du pare-feu d'entreprise est pare-feu.mydom.local.
• Le nom de l'appareil avec le service Internet MDM iOS est iosmdm.mydom.local.
• Le nom de la publication extérieure du service Internet MDM iOS est iosmdm.mydom.global.

Service Principal Name pour http/iosmdm.mydom.local

Dans le domaine, il faut désigner Service Principal Name (SPN) pour l'appareil doté du service Internet MDM iOS (iosmdm.mydom.local) :

setspn -a http/iosmdm.mydom.local iosmdm

Configuration des propriétés du domaine de l'appareil doté du pare-feu d'entreprise (firewall.mydom.local)

Pour déléguer le trafic, confier l'appareil avec le pare-feu d'entreprise (firewall.mydom.local) au service défini selon SPN (http/iosmdm.mydom.local).

Pour confier l'appareil avec le pare-feu d'entreprise au service défini selon SPN (http/iosmdm.mydom.local), l'administrateur doit exécuter les actions suivantes :

1. Dans le module logiciel enfichable de Microsoft Management Console "Active Directory Users and Computers", il faut choisir l'appareil doté du pare-feu d'entreprise (firewall.mydom.local).
2. Dans les propriétés de l'appareil, sous l'onglet Delegation, choisir l'option Use any authentication protocol pour le commutateur Trust this computer for delegation to specified service only.
3. Dans la liste Services to which this account can present delegated credentials ajouter SPN http/iosmdm.mydom.local.

Certificat spécial (personnalisé) pour le service Internet publié (iosmdm.mydom.global)

Il faut émettre le certificat spécial (personnalisé) pour le service Internet MDM iOS sur le nom de domaine complet iosmdm.mydom.global et le désigner comme substitution du certificat par défaut dans les paramètres du service Internet MDM iOS dans la Console d'administration.

N'oubliez pas que le conteneur où se trouve le certificat (fichier avec extension p12 ou pfx) doit également contenir la chaîne de certificats racines (les parties publiques).

Publications du service Internet MDM iOS sur le pare-feu d'entreprise

Sur le pare-feu d'entreprise, pour le trafic allant du côté de l'appareil mobile sur le port 443 port iosmdm.mydom.global, il faut configurer KCD sur SPN http/iosmdm.mydom.local avec l'utilisation du certificat émis pour le nom de domaine complet iosmdm.mydom.global. N'oubliez pas qu'il faut prévoir le même certificat serveur pour les publications et pour le service Internet publié.