要使用具有 Kerberos 约束委派 (KCD) 的部署方案,必须满足以下要求:
该部署方案包含以下:
当使用该部署方案时,您必须做以下操作:
您可以通过以下方法确保用户证书与 CA 发布需求兼容:
以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:
http/iosmdm.mydom.local 的服务主体名称
在域中,您必须为 iOS MDM Web 服务设备注册服务主体名称(SPN)(iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
配置具有反向代理 (firewall.mydom.local) 的设备的域属性
要授权流量,将具有反向代理的设备(firewall.mydom.local) 托付给由 SPN 定义的服务(http/iosmdm.mydom.local)。
要将具有反向代理的设备托付给由 SPN 定义的服务 (http/iosmdm.mydom.local),管理员必须执行以下操作:
已发布 Web 服务的特殊(自定义)证书(iosmdm.mydom.global)
您必须在 FQDN iosmdm.mydom.global 上为 iOS MDM Web 服务发布特殊(自定义)证书,并在管理控制台的 iOS MDM Web 服务设置中指定它替换默认证书。
请注意证书容器(带有 p12 或 pfx 扩展名的文件)必须也包含根证书链(公共密钥)。
在反向代理上发布 iOS MDM Web 服务
在反向代理上,对于从移动设备到 iosmdm.mydom.global 端口 443 的流量,您必须在 SPN(http/iosmdm.mydom.local)上配置 KCD,使用为 FQDN(iosmdm.mydom.global)发布的证书。请注意,正发布和已发布的 Web 服务必须共享相同的服务器证书。