Kerberos 제한 위임(KCD)을 사용하는 배포 구성

2024년 2월 14일

ID 92516

KCD(Kerberos 제한 위임)와 함께 배포 체계를 사용하려면 다음 요구 사항을 충족해야 합니다.

  • 중앙 관리 서버와 iOS MDM 서버는 조직의 내부 네트워크에 위치합니다.
  • KCD를 지원하는 기업 방화벽이 사용 중입니다.

이 배포 구성에서는 다음과 같은 기능을 제공합니다:

  • KCD를 지원하는 기업 방화벽과 통합
  • 모바일 기기의 인증에 KCD 사용
  • 사용자 인증서 적용을 위해 PKI와 통합하는 기능

이 배포 구성을 사용할 때는 다음 작업을 수행해야 합니다:

  • 관리 콘솔의 iOS MDM 웹 서비스 설정에서 Kerberos constrained delegation와의 호환성 보장 확인란을 선택합니다.
  • iOS MDM 웹 서비스용 인증서로는 기업 방화벽에 iOS MDM 웹 서비스를 게시할 때 정의한 사용자 지정 인증서를 지정합니다.
  • 도메인의 인증 기관(CA)에서 iOS 기기용 사용자 인증서를 발급해야 합니다. 도메인에 루트 CA가 여러 개 포함되어 있으면 기업 방화벽에 iOS MDM 웹 서비스를 게시할 때 지정한 CA에서 사용자 인증서를 발급해야 합니다.

    다음 방법 중 하나를 사용하여 사용자 인증서가 이 CA 발급 요구 사항을 준수함을 확인할 수 있습니다:

    • 새 iOS MDM 프로필 마법사와 인증서 설치 마법사에서 사용자 인증서를 지정합니다.
    • 중앙 관리 서버를 도메인 PKI와 통합하고 인증서 발급을 위한 규칙에서 해당하는 설정을 정의합니다:
      1. 콘솔 트리에서 모바일 장치 관리 폴더를 확장하고 인증서 하위 폴더를 선택합니다.
      2. 인증서 폴더의 작업 영역에서 인증서 발급 규칙 구성 버튼을 눌러 인증서 발급 규칙 창을 엽니다.
      3. PKI와 통합 섹션에서 공개키 인프라와의 통합을 구성합니다.
      4. 모바일 인증서 발급 섹션에서 인증서의 소스를 지정합니다.

아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:

  • iOS MDM 웹 서비스는 포트 443에서 실행됨.
  • 회사 방화벽이 있는 기기의 이름은 Firewall.mydom.local입니다.
  • iOS MDM 웹 서비스가 설치된 기기의 이름은 iosmdm.mydom.local입니다.
  • iOS MDM 웹 서비스의 외부 게시 이름은 iosmdm.mydom.global입니다.

http/iosmdm.mydom.local의 서비스 사용자 이름

도메인에서 iOS MDM 웹 서비스가 설치된 기기(iosmdm.mydom.local)의 서비스 사용자 이름(SPN)을 등록해야 합니다:

setspn -a http/iosmdm.mydom.local iosmdm

회사 방화벽(firewall.mydom.local)을 사용하여 기기의 도메인 속성 구성

트래픽을 위임하려면 SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 기업 방화벽가 설치된 기기(firewall.mydom.local)를 신뢰하도록 설정합니다.

SPN으로 정의된 서비스(http/iosmdm.mydom.local)가 기업 방화벽이 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:

  1. Microsoft Management Console 스냅인 "Active Directory 사용자 및 컴퓨터"에서 기업 방화벽이 설치된 기기(firewall.mydom.local)를 선택합니다.
  2. 기기 속성의 위임 탭에서 지정한 서비스로만 위임하도록 이 컴퓨터 신뢰 토글을 모든 인증 프로토콜 사용으로 설정합니다.
  3. SPN(http/iosmdm.mydom.local)을 이 계정이 위임된 자격증명을 제공할 수 있는 서비스 목록에 추가합니다.

게시된 웹 서비스(iosmdm.mydom.global)용 특수(사용자 지정) 인증서

FQDN iosmdm.mydom.global의 iOS MDM 웹 서비스용으로 특수(사용자 지정) 인증서를 발급해야 하며, 관리 콘솔의 iOS MDM 웹 서비스 설정에서 기본 인증서가 해당 인증서로 교체됨을 지정해야 합니다.

인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.

기업 방화벽에서 iOS MDM 웹 서비스 게시

기업 방화벽에서 모바일 기기로부터 iosmdm.mydom.global의 포트 443으로 전송되는 트래픽에 대해 FQDN(iosmdm.mydom.global)용으로 발급된 인증서를 사용하여 SPN(http/iosmdm.mydom.local)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 웹 서비스는 같은 서버 인증서를 공유해야 합니다.

참고 항목:

표준 구성: DMZ에 위치한 Kaspersky Device Management for iOS

공개 키 인프라와의 통합

이 글이 도움이 되었습니까?
무엇을 더 개선할 수 있겠습니까?
피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.
피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.