Schéma de déploiement avec utilisation de la délégation forcée Kerberos (KCD)

Pour utiliser le schéma de déploiement avec délégation forcée Kerberos, le Serveur d'administration et le Serveur MDM iOS doivent se trouver dans le réseau interne de l'entreprise.

Ce schéma de déploiement suppose :

Lors de l'utilisation de ce schéma de déploiement, il faut tenir compte des points suivants :

Voyons l'exemple de configuration de la délégation restreinte KCD avec les conditions suivantes :

Service Principal Name pour http/iosmdm.mydom.local

Dans le domaine, il faut désigner Service Principal Name (SPN) pour l'appareil doté du service Internet MDM iOS (iosmdm.mydom.local) :

setspn -a http/iosmdm.mydom.local iosmdm

Configuration des propriétés du domaine de l'appareil doté du proxy inversé (firewall.mydom.local)

Pour déléguer le trafic, confier l'appareil avec le proxy inversé (firewall.mydom.local) au service défini selon SPN (http/iosmdm.mydom.local).

Pour confier l'appareil avec le proxy inversé au service défini selon SPN (http/iosmdm.mydom.local), l'administrateur doit exécuter les actions suivantes :

  1. Dans le module logiciel enfichable de Microsoft Management Console "Active Directory Users and Computers", il faut choisir l'appareil doté du proxy inversé (firewall.mydom.local).
  2. Dans les propriétés de l'appareil, sous l'onglet Delegation, choisir l'option Use any authentication protocol pour le commutateur Trust this computer for delegation to specified service only.
  3. Dans la liste Services to which this account can present delegated credentials ajouter SPN http/iosmdm.mydom.local.

Certificat spécial (personnalisé) pour le service Internet publié (iosmdm.mydom.global)

Il faut émettre le certificat spécial (personnalisé) pour le service Internet MDM iOS sur le nom de domaine complet iosmdm.mydom.global et le désigner comme substitution du certificat par défaut dans les paramètres du service Internet MDM iOS dans la Console d'administration.

N'oubliez pas que le conteneur où se trouve le certificat (fichier avec extension p12 ou pfx) doit également contenir la chaîne de certificats racines (les parties publiques).

Publications du service Internet MDM iOS sur le proxy inversé

Sur le proxy inversé, pour le trafic allant du côté de l'appareil mobile sur le port 443 port iosmdm.mydom.global, il faut configurer KCD sur SPN http/iosmdm.mydom.local avec l'utilisation du certificat émis pour le nom de domaine complet iosmdm.mydom.global. N'oubliez pas qu'il faut prévoir le même certificat serveur pour les publications et pour le service Internet publié.

Voir également :

Configuration typique : Kaspersky Device Management for iOS en zone démilitarisée

Intégration avec l'infrastructure à clé publique

Haut de page