Lo schema di distribuzione con Kerberos Constrained Delegation (KCD) richiede che l'Administration Server e il server MDM iOS siano posizionati nella rete interna dell'organizzazione.
Questo schema di distribuzione offre quanto segue:
Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:
È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:
Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:
Nome dell'entità servizio per http/iosmdm.mydom.local
Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configurazione delle proprietà di dominio del dispositivo con TMG (tmg.mydom.local)
Per delegare il traffico, impostare come attendibile il dispositivo con TMG (tmg.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).
Per impostare come attendibile il dispositivo con TMG per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:
Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)
È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.
Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).
Pubblicazione del servizio Web MDM iOS in TMG
In TMG, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.