Para usar el esquema de despliegue con la delegación restringida de Kerberos (KCD), se deben cumplir los siguientes requisitos:
Este esquema de despliegue permite lo siguiente:
Si elige usar este esquema de despliegue, debe hacer lo siguiente:
Se puede asegurar de que el certificado cliente (certificado de usuario) se realice conforme a este requisito de emisión de CA usando uno de los métodos siguientes:
A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:
Nombre principal de servicio para http/iosmdm.mydom.local
En el dominio, tiene que registrar el nombre principal de servicio (SPN) en el dispositivo con el servicio web de MDM para iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configuración de las propiedades de dominio del dispositivo con el firewall corporativo (firewall.mydom.local)
Para delegar el tráfico, delegue el dispositivo con el firewall corporativo (firewall.mydom.local) al servicio que es definido por SPN (http/iosmdm.mydom.local).
Para delegar el dispositivo con el firewall corporativo al servicio definido por SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:
Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)
Tiene que emitir un certificado especial (personalizado) para el servicio web de MDM para iOS en FQDN iosmdm.mydom.global y especificar que reemplaza al certificado predeterminado en la configuración del servicio web de MDM para iOS en la Consola de administración.
Tenga en cuenta que el contenedor del certificado (archivo con la extensión p12 o pfx) también debe contener una cadena de certificados de origen (claves públicas).
Publicación del servicio web de MDM para iOS en el firewall corporativo
En el firewall corporativo, para el tráfico que va desde un dispositivo móvil al puerto 443 de iosmdm.mydom.global, tiene que configurar KCD en SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que la publicación y el servicio web publicado deben compartir el mismo certificado del servidor.