El esquema de despliegue en el que se contempla el uso de la delegación restringida de Kerberos (KCD) requiere que el Servidor de administración y el Servidor de MDM para iOS estén ubicados en la red interna de la organización.
Este esquema de despliegue permite lo siguiente:
Si elige usar este esquema de despliegue, debe hacer lo siguiente:
Se puede asegurar de que el certificado cliente (certificado de usuario) se realice conforme a este requisito de emisión de CA usando uno de los métodos siguientes:
A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:
Nombre principal de servicio para http/iosmdm.mydom.local
En el dominio, tiene que registrar el nombre principal de servicio (SPN) en el dispositivo con el servicio web de MDM para iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configuración de las propiedades de dominio del dispositivo con el proxy inverso (firewall.mydom.local)
Para delegar el tráfico, delegue el dispositivo con el proxy inverso (firewall.mydom.local) al servicio que es definido por SPN (http/iosmdm.mydom.local).
Para delegar el dispositivo con el proxy inverso al servicio definido por SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:
Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)
Tiene que emitir un certificado especial (personalizado) para el servicio web de MDM para iOS en FQDN iosmdm.mydom.global y especificar que reemplaza al certificado predeterminado en la configuración del servicio web de MDM para iOS en la Consola de administración.
Tenga en cuenta que el contenedor del certificado (archivo con la extensión p12 o pfx) también debe contener una cadena de certificados de origen (claves públicas).
Publicación del servicio web de MDM para iOS en el proxy inverso
En el proxy inverso, para el tráfico que va desde un dispositivo móvil al puerto 443 de iosmdm.mydom.global, tiene que configurar KCD en SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que la publicación y el servicio web publicado deben compartir el mismo certificado del servidor.