涉及 Kerberos constrained delegation (KCD) 的佈署方案需要管理伺服器和 iOS MDM 伺服器位於內部組織網路。
此佈署方案提供以下內容:
當使用該佈署方案時,您必須做以下操作:
您可以透過以下方法確保使用者憑證與 CA 發佈需求相容:
以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:
http/iosmdm.mydom.local 的服務主體名稱
在網域中,您必須為 iOS MDM Web 服務裝置註冊服務主體名稱 (SPN) (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
配置具有反向代理的裝置的網域內容 (firewall.mydom.local)
要授權流量,信任反向代理裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)。
要信任反向代理裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local),管理員必須執行以下操作:
已發佈 Web 服務的特殊(自訂)憑證 (iosmdm.mydom.global)
您必須在 FQDN iosmdm.mydom.global 上為 iOS MDM Web 服務發佈特殊(自訂)憑證,並在管理主控台的 iOS MDM Web 服務設定中指定它取代預設憑證。
請注意憑證容器(帶有 p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。
在反向代理上發佈 iOS MDM Web 服務
在反向代理上,對於從行動裝置到 iosmdm.mydom.global 連接埠 443 的流量,您必須在 SPN (http/iosmdm.mydom.local) 上配置 KCD,使用為 FQDN (iosmdm.mydom.global) 發佈的憑證。請注意,正發佈和已發佈的 Web 服務必須共用相同的伺服器憑證。