Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)
Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.
Эта схема развертывания предполагает:
- интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
- использование схемы принудительного делегирования Kerberos Constrained Delegation для аутентификации мобильных устройств;
- интеграцию с инфраструктурой открытых ключей для применения пользовательских сертификатов.
При использовании этой схемы развертывания следует учесть, что:
- в Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos Constrained Delegation;
- в качестве сертификата веб-службы iOS MDM следует указать персонализированный сертификат, заданный при публикации веб-службы iOS MDM на TMG;
- пользовательские сертификаты для iOS-устройств должны выпускаться доменным Центром сертификации (ЦС). Если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выпущены Центром сертификации, указанным при публикации веб-службы iOS MDM на TMG.
Соответствие пользовательского сертификата указанному требованию обеспечивается несколькими способами:
- Указать пользовательский сертификат в мастере создания профилей iOS MDM и в мастере установки сертификатов.
- Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
- В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
- В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
- В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
- В разделе Выдача мобильных сертификатов укажите источник сертификатов.
Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:
- веб-служба iOS MDM запущена на порте 443;
- имя устройства с TMG – tmg.mydom.local;
- имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
- имя внешней публикации веб-службы iOS MDM – iosmdm.mydom.global.
Имя субъекта-службы (SPN) для http/iosmdm.mydom.local
В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Настройка доменных свойств устройства с TMG (tmg.mydom.local)
Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).
Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:
- В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
- В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
- В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).
Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)
Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.
Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).
Публикация веб-службы iOS MDM на TMG
На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.