Um das Bereitstellungsschema mit der eingeschränkten Delegierung von Kerberos (KCD) zu verwenden, müssen die folgenden Anforderungen erfüllt sein:
Dieses Bereitstellungsschema setzt voraus:
Bei Verwendung dieses Bereitstellungsschemas muss Folgendes berücksichtigt werden:
Die Übereinstimmung des Benutzerzertifikates mit der angegebenen Anforderung kann auf verschiedene Weise gewährleistet werden:
Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:
Service Principal Name für http/iosmdm.mydom.local
In der Domäne muss der Service Principal Name (SPN) für das Gerät mit dem Webdienst iOS MDM (iosmdm.mydom.local) eingetragen werden:
setspn -a http/iosmdm.mydom.local iosmdm
Konfigurieren der Domäneneigenschaften des Geräts mit der Unternehmens-Firewall (firewall.mydom.local)
Für die Delegierung des Datenverkehres muss das Gerät mit der Unternehmens-Firewall (firewall.mydom.local) jenem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/iosmdm.mydom.local).
Um das Gerät mit der Unternehmens-Firewall dem gemäß SPN bestimmten Dienst anzuvertrauen (http/iosmdm.mydom.local), muss der Administrator wie folgt vorgehen:
Besonderes (benutzerspezifisches) Zertifikat für den veröffentlichten Webdienst (iosmdm.mydom.global)
Für den Web-Dienst iOS MDM muss ein besonderes (benutzerspezifisches) Zertifikat auf FQDN iosmdm.mydom.global ausgestellt und in der Verwaltungskonsole anstatt des Standardzertifikats in den Einstellungen des Webdienstes iOS MDM angegeben werden.
Es muss berücksichtigt werden, dass im Container mit dem Zertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.
Veröffentlichungen des Webdienstes iOS MDM in der Unternehmens-Firewall
In der Unternehmens-Firewall muss für den Datenverkehr, der von einem mobilen Gerät auf dem Port 443 von iosmdm.mydom.global eingeht, die KCD auf dem SPN (http/iosmdm.mydom.local) unter Verwendung des für FQDN (iosmdm.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Webdienst ein und dasselbe Serverzertifikat verwendet werden muss.