Lo schema di distribuzione con Kerberos Constrained Delegation (KCD) richiede che l'Administration Server e il server MDM iOS siano posizionati nella rete interna dell'organizzazione.
Questo schema di distribuzione offre quanto segue:
Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:
È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:
Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:
Nome dell'entità servizio per http/iosmdm.mydom.local
Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)
Per delegare il traffico, impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).
Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:
Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)
È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.
Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).
Pubblicazione del servizio Web MDM iOS nel proxy inverso
Nel proxy inverso, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.