Kerberos の制約付き委任(KCD)を使用した導入スキームでは、管理サーバーと iOS MDM サーバーが組織の社内ネットワークになければなりません。
この導入スキームでは以下が実現されます:
この導入スキームを使用する場合、以下を実行する必要があります:
以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:
以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:
http/iosmdm.mydom.local のサービスプリンシパル名
ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:
setspn -a http/iosmdm.mydom.local iosmdm
リバースプロキシ(firewall.mydom.local)を持つデバイスのドメインプロパティを設定します
トラフィックを委任するには、SPN によって定義されたサービス(http/iosmdm.mydom.local)に対してリバースプロキシ(firewall.mydom.local)を備えたデバイスを信頼します。
SPN によって定義されたサービス(http/iosmdm.mydom.local)に対してリバースプロキシを持つデバイスを信頼させるには、管理者は以下の操作を実行する必要があります:
公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書
FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。
証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。
リバースプロキシでの iOS MDM Web サービスの公開
リバースプロキシでは、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN(iosmdm.mydom.global)に対して発行された証明書を使用して、SPN(http/iosmdm.mydom.local)上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。