يتطلب نظام النشر باستخدام تفويض Kerberos المقيّد (KCD) وجود خادم الإدارة وخادم الأجهزة المحمولة التي تعمل بنظام iOS MDM على إنترانت المؤسسة.
يعمل نظام النشر هذا على ما يلي:
عند استخدام نظام النشر هذا، يجب عليك القيام بما يلي:
يمكنك التأكد أن شهادة المستخدم متوافقة مع متطلب إصدار هيئة إصدار الشهادات عن طريق استخدام طريقة من الطرق التالية:
يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:
الاسم الأساسي للخدمة لـ http/iosmdm.mydom.local
في المجال، يجب عليك تسجيل الاسم الأساسي للخدمة (SPN) للجهاز الذي يحتوي على خدمة iOS MDM على الويب (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
تكوين خصائص المجال للجهاز باستخدام الخادم الوكيل العكسي (firewall.mydom.local)
لتفويض حركة المرور، قم باعتماد الجهاز الذي يحتوي على الخادم الوكيل العكسي (firewall.mydom.local) إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local).
لاعتماد الخدمة التي تحتوي على الخادم الوكيل العكسي إلى الخدمة المحددة بواسطة SPN (http/iosmdm.mydom.local)، يجب أن ينفذ المسؤول الإجراءات التالية:
شهادة خاصة (مخصصة) لخدمة الويب المنشورة (iosmdm.mydom.global)
يجب عليك إصدار شهادة خاصة (مخصصة) لخدمة iOS MDM على الويب على FQDN iosmdm.mydom.global وحدد أنها تستبدل الشهادة الافتراضية في الإعدادات الخاصة بخدمة iOS MDM على الويب في وحدة تحكم الإدارة.
الرجاء ملاحظة أن حاوية الشهادة (ملف امتداده p12 أو pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).
نشر خدمة iOS MDM على الويب على الخادم الوكيل العكسي
على الخادم الوكيل العكسي، لحركة المرور التي تنتقل من جهاز محمول إلى المنفذ 443 الخاص بـ iosmdm.mydom.global، يجب عليك تكوين KCD على SPN (http/iosmdm.mydom.local)، باستخدام الشهادة التي تم إصدارها لـ FQDN (iosmdm.mydom.global). الرجاء ملاحظة أن عملية النشر هذه وخدمة الويب التي تم نشرها يجب أن يتشاركا في شهادة الخادم نفسها.