Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

При использовании этой схемы развертывания следует учесть, что:

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

Имя субъекта-службы (SPN) для http/iosmdm.mydom.local

В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

  1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
  2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
  3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).

Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).

Публикация веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.

См. также:

Интеграция с инфраструктурой открытых ключей

Включение поддержки Kerberos Constrained Delegation

В начало