Esquema de implementação envolvendo a delegação de restrição Kerberos (KCD)

O esquema de implementação com a delegação restringida Kerberos (KCD), necessita que o Servidor de Administração e o Servidor de MDM do iOS estejam localizados na rede interna da organização.

Este esquema de implementação fornece para o seguinte:

Ao usar este esquema de implementação, você deve fazer o seguinte:

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

Nome do serviço principal para http/iosmdm.mydom.local

No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuração das propriedades de domínio do dispositivo com o proxy reverso (firewall.mydom.local)

Para delegar o tráfego, confie o dispositivo com o proxy reverso (firewall.mydom.local) ao serviço definido pelo SPN (http/iosmdm.mydom.local).

Para confiar o dispositivo com o proxy reverso ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:

  1. No snap-in do Microsoft Management Console nomeado “Usuários e computadores do Active Directory”, selecione o dispositivo com o proxy reverso instalado (firewall.mydom.local).
  2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
  3. Adicione o SPN (http/iosmdm.mydom.local) à lista Serviços aos quais esta conta possa apresentar credenciais delegadas.

Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)

Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.

Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Publicação do serviço da Web de MDM do iOS no proxy reverso

No proxy reverso, para o tráfego que vai de um dispositivo móvel para a porta 443 do iosmdm.mydom.global, é necessário configurar a KCD no SPN (http/iosmdm.mydom.local) usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.

Consulte também:

Configuração padrão: Kaspersky Device Management for iOS no DMZ

Integração com a infraestrutura de chaves públicas

Topo da página