Kerberos の制約付き委任(KCD)を使用した導入スキーム

2024年6月17日

ID 92516

Kerberos 制約付き委任 (KCD) で導入スキームを使用するには、次の要件を満たす必要があります:

  • 管理サーバーと iOS MDM サーバーは、組織の内部ネットワーク上に配置されます。
  • KCD をサポートする企業ファイアウォールが使用されています。

この導入スキームでは以下が実現されます:

  • KCD をサポートする企業ファイアウォールとの統合
  • KCD を使用したモバイルデバイスの認証
  • PKI との統合によるユーザー証明書の適用

この導入スキームを使用する場合、以下を実行する必要があります:

  • 管理コンソールの iOS MDM Web サービスの設定で[Kerberos の制約付き委任との互換性を確保する]をオンにします。
  • iOS MDM ウェブサービスの証明書として、iOS MDM Web サービスが企業ファイアウォールで公開された時に定義されたカスタマイズ証明書を指定します。
  • iOS デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが企業ファイアウォールで公開された時に指定された CA によって発行される必要があります。

    以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:

    • 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
    • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
      1. コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
      2. 証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックして[証明書発行ルール]ウィンドウを表示します。
      3. PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
      4. モバイル証明書の発行]セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

  • iOS MDM Web サービスがポート 443 で実行されている
  • 企業ファイアウォールを備えたデバイスの名前は、firewall.mydom.local です
  • iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
  • iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:

setspn -a http/iosmdm.mydom.local iosmdm

企業ファイアウォール(firewall.mydom.local)でデバイスのドメインプロパティを設定します

トラフィックを委任するには、SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォール(firewall.mydom.local)を備えたデバイスを信頼します。

SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォールを備えたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、企業ファイアウォールがインストールされているデバイス(firewall.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。

公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

企業ファイアウォールでの iOS MDM Web サービスの公開

企業ファイアウォール上で、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN(iosmdm.mydom.global)に対して発行された証明書を使用して、SPN(http/iosmdm.mydom.local)上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目:

標準設定:DMZ 内の Kaspersky Device Management for iOS

公開鍵基盤との統合

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。