Kerberos の制約付き委任(KCD)を使用した導入スキーム

Kerberos の制約付き委任(KCD)を使用した導入スキームでは、管理サーバーと iOS MDM サーバーが組織の社内ネットワークになければなりません。

この導入スキームでは以下が実現されます:

この導入スキームを使用する場合、以下を実行する必要があります:

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:

setspn -a http/iosmdm.mydom.local iosmdm

リバースプロキシ(firewall.mydom.local)を持つデバイスのドメインプロパティを設定します

トラフィックを委任するには、SPN によって定義されたサービス(http/iosmdm.mydom.local)に対してリバースプロキシ(firewall.mydom.local)を備えたデバイスを信頼します。

SPN によって定義されたサービス(http/iosmdm.mydom.local)に対してリバースプロキシを持つデバイスを信頼させるには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、リバースプロキシがインストールされているデバイス(firewall.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。

公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

リバースプロキシでの iOS MDM Web サービスの公開

リバースプロキシでは、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN(iosmdm.mydom.global)に対して発行された証明書を使用して、SPN(http/iosmdm.mydom.local)上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目:

標準設定:DMZ 内の Kaspersky Device Management for iOS

公開鍵基盤との統合

ページのトップに戻る