Kerberos 제한 위임(KCD)을 사용하는 배포 구성의 경우 중앙 관리 서버와 iOS MDM 서버가 내부 조직 네트워크에 있어야 합니다.
이 배포 구성에서는 다음과 같은 기능을 제공합니다:
이 배포 구성을 사용할 때는 다음 작업을 수행해야 합니다:
다음 방법 중 하나를 사용하여 사용자 인증서가 이 CA 발급 요구 사항을 준수함을 확인할 수 있습니다:
아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:
http/iosmdm.mydom.local의 서비스 사용자 이름
도메인에서 iOS MDM 웹 서비스가 설치된 기기(iosmdm.mydom.local)의 서비스 사용자 이름(SPN)을 등록해야 합니다:
setspn -a http/iosmdm.mydom.local iosmdm
역방향 프록시(firewall.mydom.local)를 사용하여 기기의 도메인 속성 구성
트래픽을 위임하려면 SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 역방향 프록시가 설치된 기기(firewall.mydom.local)를 신뢰하도록 설정합니다.
SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 역방향 프록시가 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:
게시된 웹 서비스(iosmdm.mydom.global)용 특수(사용자 지정) 인증서
FQDN iosmdm.mydom.global의 iOS MDM 웹 서비스용으로 특수(사용자 지정) 인증서를 발급해야 하며, 관리 콘솔의 iOS MDM 웹 서비스 설정에서 기본 인증서가 해당 인증서로 교체됨을 지정해야 합니다.
인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.
역방향 프록시에서 iOS MDM 웹 서비스 게시
역방향 프록시에서 모바일 기기로부터 iosmdm.mydom.global의 포트 443으로 전송되는 트래픽에 대해 FQDN(iosmdm.mydom.global)용으로 발급된 인증서를 사용하여 SPN(http/iosmdm.mydom.local)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 웹 서비스는 같은 서버 인증서를 공유해야 합니다.