涉及 Kerberos constrained delegation (KCD) 的部署方案

要使用具有 Kerberos 约束委派 (KCD) 的部署方案,必须满足以下要求:

该部署方案包含以下:

当使用该部署方案时,您必须做以下操作:

以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:

http/iosmdm.mydom.local 的服务主体名称

在域中,您必须为 iOS MDM Web 服务设备注册服务主体名称(SPN)(iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

配置具有反向代理 (firewall.mydom.local) 的设备的域属性

要授权流量,将具有反向代理的设备(firewall.mydom.local) 托付给由 SPN 定义的服务(http/iosmdm.mydom.local)。

要将具有反向代理的设备托付给由 SPN 定义的服务 (http/iosmdm.mydom.local),管理员必须执行以下操作:

  1. 在名为“活动目录用户和计算机”的 Microsoft Management Console 中,选择安装了反向代理的设备 (firewall.mydom.local)。
  2. 在设备属性窗口,在授权选项卡,设置信任此计算机到指定服务的授权切换键到使用任何身份验证协议
  3. 添加 SPN (http/iosmdm.mydom.local) 到该账户可以展示已授权凭证的服务列表。

已发布 Web 服务的特殊(自定义)证书(iosmdm.mydom.global)

您必须在 FQDN iosmdm.mydom.global 上为 iOS MDM Web 服务发布特殊(自定义)证书,并在管理控制台的 iOS MDM Web 服务设置中指定它替换默认证书。

请注意证书容器(带有 p12 或 pfx 扩展名的文件)必须也包含根证书链(公共密钥)。

在反向代理上发布 iOS MDM Web 服务

在反向代理上,对于从移动设备到 iosmdm.mydom.global 端口 443 的流量,您必须在 SPN(http/iosmdm.mydom.local)上配置 KCD,使用为 FQDN(iosmdm.mydom.global)发布的证书。请注意,正发布和已发布的 Web 服务必须共享相同的服务器证书。

另请参阅:

标准配置:DMZ 中的 Kaspersky Device Management for iOS

与公共密钥基础架构整合

页顶