涉及 Kerberos constrained delegation (KCD) 的部署方案
要使用具有 Kerberos 约束委派 (KCD) 的部署方案,必须满足以下要求:
- 管理服务器和 iOS MDM 服务器位于组织的内部网络上。
- 正在使用支持 KCD 的企业防火墙。
该部署方案包含以下:
- 与支持 KCD 的企业防火墙集成
- 使用 KCD 对移动设备做身份验证
- 与 PKI 整合以应用用户证书
当使用该部署方案时,您必须做以下操作:
- 在管理控制台的 iOS MDM Web 服务设置中,选中“确保和 Kerberos Constrained Delegation 兼容”复选框。
- 作为 iOS MDM Web 服务的证书,指定当 iOS MDM Web 服务发布在企业防火墙时定义的自定义证书。
- iOS 设备的用户证书必须由域中的 Certificate Authority (CA) 发布。如果域包含多个根 CAs,用户证书必须由当 iOS MDM Web 服务发布在企业防火墙时指定的 CA 发布。
您可以通过以下方法确保用户证书与 CA 发布需求兼容:
- 在新建 iOS MDM 配置文件向导和证书安装向导中指定用户证书。
- 将管理服务器与域的 PKI 整合并在证书发布规则中定义对应的设置:
- 在控制台树中,展开“移动设备管理”文件夹并选择“证书”子文件夹。
- 在证书文件夹的工作区中,单击“配置证书发布规则”按钮以打开“证书发布规则”窗口。
- 在“与 PKI 整合”区域,配置与公共密钥基础架构的整合。
- 在“移动证书发布”区域,指定证书源。
以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:
- iOS MDM Web 服务正运行在端口 443。
- 具有企业防火墙的设备的名称是firewall.mydom.local。
- iOS MDM Web 服务设备名称是 iosmdm.mydom.local。
- iOS MDM Web 服务的外部发布名称是 iosmdm.mydom.global。
http/iosmdm.mydom.local 的服务主体名称
在域中,您必须为 iOS MDM Web 服务设备注册服务主体名称(SPN)(iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
配置具有企业防火墙 (firewall.mydom.local) 的设备的域属性
要授权流量,将具有企业防火墙的设备(firewall.mydom.local) 托付给由 SPN 定义的服务(http/iosmdm.mydom.local)。
要将具有企业防火墙的设备托付给由 SPN 定义的服务 (http/iosmdm.mydom.local),管理员必须执行以下操作:
- 在名为“活动目录用户和计算机”的 Microsoft Management Console 中,选择安装了企业防火墙的设备 (firewall.mydom.local)。
- 在设备属性窗口,在授权选项卡,设置信任此计算机到指定服务的授权切换键到使用任何身份验证协议。
- 添加 SPN (http/iosmdm.mydom.local) 到该账户可以展示已授权凭证的服务列表。
已发布 Web 服务的特殊(自定义)证书(iosmdm.mydom.global)
您必须在 FQDN iosmdm.mydom.global 上为 iOS MDM Web 服务发布特殊(自定义)证书,并在管理控制台的 iOS MDM Web 服务设置中指定它替换默认证书。
请注意证书容器(带有 p12 或 pfx 扩展名的文件)必须也包含根证书链(公共密钥)。
在企业防火墙上发布 iOS MDM Web 服务
在企业防火墙上,对于从移动设备到 iosmdm.mydom.global 端口 443 的流量,您必须在 SPN(http/iosmdm.mydom.local)上配置 KCD,使用为 FQDN(iosmdm.mydom.global)发布的证书。请注意,正发布和已发布的 Web 服务必须共享相同的服务器证书。