涉及 Kerberos constrained delegation (KCD) 的佈署方案

若要使用具有 Kerberos 約束委派 (KCD) 的部署方案，必須符合下列要求：

• 管理伺服器和 iOS MDM 伺服器位於組織的內部網路上。
• 正在使用支援 KCD 的企業防火牆。

此佈署方案提供以下內容：

• 與支援 KCD 的企業防火牆整合
• 使用 KCD 對行動裝置做身分驗證
• 與 PKI 整合以套用使用者憑證

當使用該佈署方案時，您必須做以下操作：

• 在管理主控台，在 iOS MDM Web 服務設定中，選取確認與 Kerberos Constrained Delegation 相容核取方塊。
• 作為 iOS MDM Web 服務的憑證，指定當 iOS MDM Web 服務發佈在企業防火墻上時定義的自訂憑證。
• iOS 裝置的使用者憑證必須由網域中的 Certificate Authority (CA) 發佈。如果網域包含多個根 CAs，使用者憑證必須由當 iOS MDM Web 服務發佈在企業防火墻上時指定的 CA 發佈。

  您可以透過以下方法確保使用者憑證與 CA 發佈需求相容：

  • 在新 iOS MDM 設定檔精靈和憑證安裝精靈中指定使用者憑證。
  • 將管理伺服器與網域的 PKI 整合並在憑證發佈規則中定義對應的設定：
    1. 在主控台樹狀目錄中，延伸行動裝置管理資料夾並選擇憑證子資料夾。
    2. 在憑證資料夾中點擊配置憑證發佈規則按鈕，開啟憑證發佈規則視窗。
    3. 在與 PKI 整合區域，配置與公共金鑰基礎架構的整合。
    4. 在行動憑證發佈區域，指定憑證來源。

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子：

• iOS MDM Web 服務正執行在連接埠 443。
• 具有企業防火牆的裝置的名稱是firewall.mydom.local。
• iOS MDM Web 服務裝置名稱是 iosmdm.mydom.local。
• iOS MDM Web 服務的外部發佈名稱是 iosmdm.mydom.global。

http/iosmdm.mydom.local 的服務主體名稱

在網域中，您必須為 iOS MDM Web 服務裝置註冊服務主體名稱 (SPN) (iosmdm.mydom.local)：

setspn -a http/iosmdm.mydom.local iosmdm

配置具有企業防火牆的裝置的網域內容 (firewall.mydom.local)

要授權流量，信任企業防火墻裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)。

要信任企業防火墻裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)，管理員必須執行以下操作：

1. 在名稱為「Active Directory 使用者和電腦」的 Microsoft Management Console 中，選取安裝了企業防火墻的裝置 (firewall.mydom.local)。
2. 在裝置內容視窗，在授權頁籤，設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議。
3. 新增 SPN (http/iosmdm.mydom.local) 到該帳戶可以展示已授權憑證的服務清單。

已發佈 Web 服務的特殊（自訂）憑證 (iosmdm.mydom.global)

您必須在 FQDN iosmdm.mydom.global 上為 iOS MDM Web 服務發佈特殊（自訂）憑證，並在管理主控台的 iOS MDM Web 服務設定中指定它取代預設憑證。

請注意憑證容器（帶有 p12 或 .pfx 副檔名的檔案）必須也包含根憑證鏈（公共金鑰）。

在企業防火墻上發佈 iOS MDM Web 服務

在企業防火墻上，對於從行動裝置到 iosmdm.mydom.global 連接埠 443 的流量，您必須在 SPN (http/iosmdm.mydom.local) 上配置 KCD，使用為 FQDN (iosmdm.mydom.global) 發佈的憑證。請注意，正發佈和已發佈的 Web 服務必須共用相同的伺服器憑證。

另請參閱： 標準配置：DMZ 中的 Kaspersky Device Management for iOS 與公共金鑰基礎架構整合

頁頂