Kerberos 제한 위임(KCD)을 사용하는 배포 구성
2023년 4월 17일
ID 92516
Kerberos 제한 위임(KCD)을 사용하는 배포 구성의 경우 중앙 관리 서버와 iOS MDM 서버가 내부 조직 네트워크에 있어야 합니다.
이 배포 구성에서는 다음과 같은 기능을 제공합니다:
- Microsoft Forefront TMG와의 통합 기능
- 모바일 기기의 인증에 KCD 사용
- 사용자 인증서 적용을 위해 PKI와 통합하는 기능
이 배포 구성을 사용할 때는 다음 작업을 수행해야 합니다:
- 관리 콘솔의 iOS MDM 웹 서비스 설정에서 Kerberos constrained delegation와의 호환성 보장 확인란을 선택합니다.
- iOS MDM 웹 서비스용 인증서로는 TMG에 iOS MDM 웹 서비스를 게시할 때 정의한 사용자 지정된 인증서를 지정합니다.
- 도메인의 인증 기관(CA)에서 iOS 기기용 사용자 인증서를 발급해야 합니다. 도메인에 루트 CA가 여러 개 포함되어 있으면 TMG에 iOS MDM 웹 서비스를 게시할 때 지정한 CA에서 사용자 인증서를 발급해야 합니다.
다음 방법 중 하나를 사용하여 사용자 인증서가 이 CA 발급 요구 사항을 준수함을 확인할 수 있습니다:
- 새 iOS MDM 프로필 마법사와 인증서 설치 마법사에서 사용자 인증서를 지정합니다.
- 중앙 관리 서버를 도메인 PKI와 통합하고 인증서 발급을 위한 규칙에서 해당하는 설정을 정의합니다:
- 콘솔 트리에서 모바일 기기 매니지먼트 폴더를 확장하고 인증서 하위 폴더를 선택합니다.
- 인증서 폴더의 작업 영역에서 인증서 발급 규칙 구성 버튼을 눌러 인증서 발급 규칙 창을 엽니다.
- PKI와 통합 섹션에서 공개키 인프라와의 통합을 구성합니다.
- 모바일 인증서 발급 섹션에서 인증서의 소스를 지정합니다.
아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:
- iOS MDM 웹 서비스는 포트 443에서 실행됨.
- TMG가 설치된 기기의 이름은 tmg.mydom.local임.
- iOS MDM 웹 서비스가 설치된 기기의 이름은 iosmdm.mydom.local입니다.
- iOS MDM 웹 서비스의 외부 게시 이름은 iosmdm.mydom.global입니다.
http/iosmdm.mydom.local의 서비스 사용자 이름
도메인에서 iOS MDM 웹 서비스가 설치된 기기(iosmdm.mydom.local)의 서비스 사용자 이름(SPN)을 등록해야 합니다:
setspn -a http/iosmdm.mydom.local iosmdm
TMG가 설치된 기기(tmg.mydom.local)의 도메인 속성 구성
트래픽을 위임하려면 SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 TMG가 설치된 기기(tmg.mydom.local)를 신뢰하도록 설정합니다.
SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 TMG가 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:
- Microsoft Management Console 스냅인 "Active Directory 사용자 및 컴퓨터"에서 TMG가 설치된 기기(tmg.mydom.local)를 선택합니다.
- 기기 속성의 위임 탭에서 지정한 서비스로만 위임하도록 이 컴퓨터 신뢰 토글을 모든 인증 프로토콜 사용으로 설정합니다.
- SPN(http/iosmdm.mydom.local)을 이 계정이 위임된 자격증명을 제공할 수 있는 서비스 목록에 추가합니다.
게시된 웹 서비스(iosmdm.mydom.global)용 특수(사용자 지정) 인증서
FQDN iosmdm.mydom.global의 iOS MDM 웹 서비스용으로 특수(사용자 지정) 인증서를 발급해야 하며, 관리 콘솔의 iOS MDM 웹 서비스 설정에서 기본 인증서가 해당 인증서로 교체됨을 지정해야 합니다.
인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.
TMG에서 iOS MDM 웹 서비스 게시
TMG에서 모바일 기기로부터 iosmdm.mydom.global의 포트 443으로 전송되는 트래픽에 대해 FQDN(iosmdm.mydom.global)용으로 발급된 인증서를 사용하여 SPN(http/iosmdm.mydom.local)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 웹 서비스는 같은 서버 인증서를 공유해야 합니다.