Kerberos の制約付き委任（KCD）を使用した導入スキーム

Kerberos 制約付き委任 (KCD) で導入スキームを使用するには、次の要件を満たす必要があります：

• 管理サーバーと iOS MDM サーバーは、組織の内部ネットワーク上に配置されます。
• KCD をサポートするリバースプロキシが使用されています。

この導入スキームでは以下が実現されます：

• KCD をサポートするリバースプロキシとの統合
• KCD を使用したモバイルデバイスの認証
• PKI との統合によるユーザー証明書の適用

この導入スキームを使用する場合、以下を実行する必要があります：

• 管理コンソールの iOS MDM Web サービスの設定で［Kerberos の制約付き委任との互換性を確保する］をオンにします。
• iOS MDM Web サービスがリバースプロキシで公開された際に定義されたカスタマイズ済みの証明書を、iOS MDM Web サービスの証明書として指定します。
• iOS デバイスのユーザー証明書は、ドメインの Certificate Authority（CA）によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスがリバースプロキシで公開された時に指定された CA によって発行される必要があります。

  以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます：

  • 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
  • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します：
    1. コンソールツリーで、［モバイルデバイス管理］フォルダーを展開し、［証明書］サブフォルダーを選択します。
    2. ［証明書］フォルダーの作業領域で［証明書の発行ルールを指定する］をクリックして［証明書発行ルール］ウィンドウを表示します。
    3. ［PKI（公開鍵基盤）の統合］セクションで、公開鍵基盤との統合を設定します。
    4. ［モバイル証明書の発行］セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任（KCD）の設定例を次に示します：

• iOS MDM Web サービスがポート 443 で実行されている。
• リバースプロキシを備えたデバイスの名前は、firewall.mydom.local です。
• iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である。
• iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である。

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス（iosmdm.mydom.local）のサービスプリンシパル名（SPN）を次のように登録する必要があります：

setspn -a http/iosmdm.mydom.local iosmdm

リバースプロキシ（firewall.mydom.local）を持つデバイスのドメインプロパティを設定します

トラフィックを委任するには、SPN によって定義されたサービス（http/iosmdm.mydom.local）に対してリバースプロキシ（firewall.mydom.local）を備えたデバイスを信頼します。

SPN によって定義されたサービス（http/iosmdm.mydom.local）に対してリバースプロキシを持つデバイスを信頼させるには、管理者は以下の操作を実行する必要があります：

1. 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、リバースプロキシがインストールされているデバイス（firewall.mydom.local）を選択します。
2. デバイスのプロパティの［委任］タブで、［このコンピューターを、指定されたサービスの委任に限って信頼する］トグルを［任意の認証プロトコルを使用する］に設定します。
3. SPN（http/iosmdm.mydom.local）を［このアカウントが委任された資格情報を提供できるサービス］リストに追加します。

公開された Web サービス（iosmdm.mydom.global）向けの専用（カスタマイズ済み）の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用（カスタマイズ済み）の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー（拡張子が p12 または pfx のファイル）には、ルート証明書（公開鍵）のチェーンも含まれる必要があることに留意してください。

リバースプロキシでの iOS MDM Web サービスの公開

リバースプロキシでは、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN（iosmdm.mydom.global）に対して発行された証明書を使用して、SPN（http/iosmdm.mydom.local）上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目： 標準設定：DMZ 内の Kaspersky Device Management for iOS 公開鍵基盤との統合

ページのトップに戻る