系統管理指南

Local Navigation

設定整合式 Windows 驗證,讓使用者可以存取組織網路上的資源

若要允許 BlackBerry® 裝置使用者使用 BlackBerry 裝置存取您組織網路上的資源,而不需使用者在每次存取網路資源時鍵入使用者名稱和密碼,您可以將 BlackBerry MDS Connection Service 設定為支援整合式 Windows® 驗證。 如此使用者即可在其裝置上使用 BlackBerry® Browser 或 Files (檔案) 應用程式存取網路資源,例如內部網路網站和網路共用資料夾,而不需鍵入使用者名稱和密碼。

您必須在包含您要為其開啟整合式 Windows 驗證的資源的每一個 Microsoft Active Directory 網域中,建立 Microsoft® Active Directory® 帳號,才能將 BlackBerry MDS Connection Service 設定為支援整合式 Windows 驗證。 您必須為 Microsoft Active Directory 帳號設定限制委派,讓這些帳號委派 Microsoft Active Directory 網域中每一個內部網路網站或網路共用資料夾的存取權限。

您也必須在執行 BlackBerry MDS Connection ServiceMicrosoft Active Directory 網域以及 BlackBerry MDS Connection Service 必須連線的其他樹系中的其他 Microsoft Active Directory 網域之間,設定雙向信任。 BlackBerry MDS Connection Service 用來擷取使用者 Kerberos™ 服務票證的 S4U2proxy 延伸,需要 Microsoft Active Directory 網域之間的雙向信任。

在您開啟整合式 Windows 驗證並在 BlackBerry Administration Service 中指定 Microsoft Active Directory 帳號後,您必須為要允許使用者存取的網路資源指定網址模式、為網址模式建立提取規則、允許使用提取規則存取網址模式,並指派提取規則給使用者或群組。

在您將 BlackBerry MDS Connection Service 設定為支援整合式 Windows 驗證之後,BlackBerry MDS Connection Service 會使用 Microsoft Active Directory 帳號來確認使用者的登入資訊,並代表使用者存取網路資源。 BlackBerry Enterprise Server 接著會從網路資源傳送資訊到使用者的裝置。

設定 Microsoft Active Directory 帳號以委派存取權限

Back To Top

必要條件:設定 Microsoft Active Directory 帳號以委派內部網路網站的存取權限

  • 確認您已為主控內部網路網站的應用程式伺服器設定整合式 Windows® 驗證。
  • 確認主控內部網路網站的應用程式伺服器,以及在應用程式伺服器上執行的網路應用程式均支援 Kerberos™ 驗證。
  • 確認您具有在 Microsoft Active Directory 中更新 Microsoft® Active Directory® 帳號的權限。
  • 確認您有權存取 Windows Server Support Tools 中隨附的 Windows Server® setspn 工具。 如需 setspn 工具的詳細資訊,請造訪 http://technet.microsoft.com ,並閱讀 Setspn 概觀
  • 如果您未設定 Microsoft Active Directory 帳號以委派內部網路網站或共用資料夾的存取權限,則您必須在 Microsoft Active Directory 中建立應具備下列條件的 Microsoft Active Directory 帳號:
    • 符合您組織安全性要求的密碼
    • 使用者下次登入時不必變更密碼
    • 使用者的密碼永遠不會到期
  • 如果您已設定應用程式伺服器集區以主控內部網路網站,且集區正在 Microsoft® IIS 上執行並位於負載平衡器後方,請為主控內部網路網站的集區指定使用者帳號 (亦稱為身份識別)。 如需更多資訊,請參閱 http://technet.microsoft.com/en-us/library/cc771170(WS.10).aspx
Back To Top

設定 Microsoft Active Directory 帳號以委派內部網路網站的存取權限

您只能在每個 Microsoft Active Directory 網域中 (其中包含您要為其開啟整合式 Windows® 驗證的資源) 擁有一個 Microsoft® Active Directory® 帳號。

如需使用 setspn 及 Microsoft Active Directory 設定 Microsoft Active Directory 帳號的詳細資訊,請造訪 www.blackberry.com/btsc 以閱讀 KB22726 一文。

  1. 如果應用程式伺服器集區主控內部網路網站,且集區正在 Microsoft® IIS 上執行並位於負載平衡器後方,請使用 setspn 或 ADSI 為集區的使用者帳號 (亦稱為身分識別) 新增內部網路網站的 SPN。 您必須使用 FQDN 和使用者鍵入至其瀏覽器的內部網路網站名稱來設定 SPN (例如,如果使用者在其瀏覽器鍵入 http://intranet_site,則內部網路網站的名稱為 intranet_site)。
  2. Microsoft Active DirectoryMicrosoft Active Directory 帳號屬性中,如果沒有顯示 Delegation (委派) 索引標籤,請更新 Microsoft Active Directory 帳號的預設 HOST SPN 登錄。
  3. Microsoft Active Directory 帳號屬性的 Delegation (委派) 索引標籤中設定下列設定:
    • 僅針對指定服務信任此使用者的委派資格
    • 使用任何驗證通訊協定
  4. 按一下 Add (新增)。
  5. 執行下列其中一項工作:
    • 如果應用程式伺服器集區主控內部網路網站,且集區正在 Microsoft IIS 上執行並位於負載平衡器後方,請選擇在 Microsoft IIS 伺服器上執行應用程式集區的使用者帳號。
    • 如果內部網路網站是由一個應用程式伺服器主控,請選擇主控內部網路網站的應用程式伺服器。
  6. 選擇使用者帳號或您指定的應用程式伺服器的 HTTP 服務類型。
  7. 為您要為其開啟整合式 Windows 驗證的每個內部網路網站重複步驟 1 至 6。
結束之後:
  • 必要時,當傳訊伺服器位於遠端 Microsoft Active Directory 網域時,請將 BlackBerry® MDS Connection Service 設定為使用 Microsoft Active Directory 帳號。
  • 當使用者存取組織網路上的資源時,請開啟整合式 Windows 驗證。
Back To Top

必要條件:設定 Microsoft Active Directory 帳號以委派共用資料夾的存取權限

  • 確認您已為主控共用資料夾的檔案伺服器設定整合式 Windows® 驗證。
  • 確認您具有在 Microsoft Active Directory 中更新 Microsoft® Active Directory® 帳號的權限。
  • 確認您有權存取 Windows Server Support Tools 中隨附的 Windows Server® setspn 工具。 如需 setspn 工具的詳細資訊,請造訪 http://technet.microsoft.com ,並閱讀 Setspn 概觀
  • 如果您未設定 Microsoft Active Directory 帳號以委派內部網路網站或共用資料夾的存取權限,則您必須在 Microsoft Active Directory 中建立應具備下列條件的 Microsoft Active Directory 帳號:
    • 密碼符合您組織的安全性要求
    • 使用者下次登入時不必變更密碼
    • 使用者的密碼永遠不會到期
Back To Top

設定 Microsoft Active Directory 帳號以委派共用資料夾的存取權限

您只能在每個 Microsoft Active Directory 網域中 (其中包含您要為其開啟整合式 Windows® 驗證的資源) 擁有一個 Microsoft® Active Directory® 帳號。

如需使用 setspn 及 Microsoft Active Directory 設定 Microsoft Active Directory 帳號的詳細資訊,請造訪 www.blackberry.com/btsc 以閱讀 KB22726 一文。

  1. Microsoft Active DirectoryMicrosoft Active Directory 帳號屬性中,如果沒有顯示 Delegation (委派) 索引標籤,請更新 Microsoft Active Directory 帳號的預設 HOST SPN 登錄。
  2. Microsoft Active Directory 帳號屬性的 Delegation (委派) 索引標籤中設定下列設定:
    • 僅針對指定服務信任此使用者的委派資格
    • 使用任何驗證通訊協定
  3. 按一下 Add (新增)。
  4. 選取主控共用資料夾的檔案伺服器。
  5. 選取您指定的檔案伺服器之 CIFS 服務類型。
  6. 為您要為其開啟整合式 Windows 驗證的每個共用資料夾重複步驟 3 至 5。
結束之後:
  • 必要時,當傳訊伺服器位於遠端 Microsoft Active Directory 網域時,請將 BlackBerry® MDS Connection Service 設定為使用 Microsoft Active Directory 帳號。
  • 當使用者存取組織網路上的資源時,請開啟整合式 Windows 驗證。
Back To Top

當傳訊伺服器位於遠端 Microsoft Active Directory 網域內時,請設定 BlackBerry MDS Connection Service

如果主控 BlackBerry® MDS Connection Service 的電腦與通用類別目錄伺服器或傳訊伺服器位於不同的 Microsoft® Active Directory® 網域,且您想要為整合式 Windows® 驗證設定支援,則您必須建立 BlackBerry MDS Connection Service 可用來連線至通用類別目錄伺服器的 Microsoft Active Directory 帳號。

Microsoft® Exchange 環境中,您必須在包含傳訊伺服器的 Microsoft Active Directory 網域中建立 Microsoft Active Directory 帳號。

IBM® Lotus® Domino® 環境中,如果傳訊伺服器位於與通用類別目錄伺服器相同的 Microsoft Active Directory 網域中,則您必須在該網域中建立 Microsoft Active Directory 帳號。 如果傳訊伺服器位於與通用類別目錄伺服器不同的 Microsoft Active Directory 網域中,則您必須在包含通用類別目錄伺服器的 Microsoft Active Directory 網域中建立 Microsoft Active Directory 帳號。

您不必為您在包含傳訊伺服器或通用類別目錄伺服器之 Microsoft Active Directory 網域中所建立的 Microsoft Active Directory 帳號設定限制委派。

Back To Top

當傳訊伺服器位於遠端 Microsoft Active Directory 網域內時,請設定 BlackBerry MDS Connection Service

開始之前: 在傳訊伺服器或通用類別目錄伺服器所在的 Microsoft Active Directory 網域中,建立 Microsoft® Active Directory® 帳號。
  1. 在主控 BlackBerry® MDS Connection Service 的電腦上,導覽至 <磁碟機>:\Program Files\Research In Motion\BlackBerry Enterprise Server\MDS\Servers\instance\config
  2. 在文字編輯器中開啟 rimpublic.properties 檔案。
  3. rimpublic.properties 檔案中,輸入 application.handler.exchange.domain=<domain_name> 其中 <domain_name> 是包含傳訊伺服器的 Microsoft Active Directory 網域。 例如,鍵入 application.handler.exchange.domain=domain123.example.com
  4. 儲存並關閉 rimpublic.properties 檔案。
  5. Windows® 服務中,重新啟動 BlackBerry MDS Connection Service 服務。
結束之後: BlackBerry 裝置使用者存取組織網路上的資源時,請開啟整合式 Windows 驗證。
Back To Top

開啟整合式 Windows 驗證讓使用者可以存取組織網路上的資源

開始之前:
  • Microsoft® Active Directory® 帳號設定為可存取組織網路上的資源。
  • 必要時,當傳訊伺服器位於遠端 Microsoft Active Directory 網域時,請將 BlackBerry® MDS Connection Service 設定為使用 Microsoft Active Directory 帳號。
  1. BlackBerry Administration Service 中的 Servers and components (伺服器與元件) 功能表中,展開 BlackBerry solution topology > BlackBerry Domain > Component view (BlackBerry 解決方案拓撲 > BlackBerry Domain > 元件檢視)。
  2. 按一下 MDS Connection Service
  3. 按一下 Edit component (編輯元件)。
  4. Integrated authentication turned on (整合式驗證已開啟) 下拉式清單中,按一下 Yes (是)。
  5. 為每一個 Microsoft Active Directory 帳號,提供下列資訊:
    • Delegation user domain (委派使用者網域) 欄位中,輸入 FQDN (例如, ldap.example.com)。
    • Delegation user name (委派使用者名稱) 欄位中,輸入使用者名稱。
    • Password (密碼) 和 Confirm (確認) 欄位中,輸入密碼。
  6. 按一下 Save All (全部儲存)。
  7. HTTP 索引標籤中,按一下 Edit component (編輯元件)。
  8. Authentication support enabled (已啟用驗證支援) 下拉式清單中,按一下 Yes (是)。
  9. 按一下 Save All (全部儲存)。
  10. Pull URL Patterns (提取 URL 模式) 索引標籤中,為您要允許 BlackBerry 裝置使用者存取的內部網路網站或共用資料夾指定網址模式 (例如 intranet_site(:80)?(\/.*)?)。 網址模式是根據 Java® 規則運算式建立。 請考慮指定下列網址模式:
    • 指定 .*\:.*\/.* 為網址模式,以防止使用者使用任何其他網址模式存取內部網路網站或共用網路資料夾。
    • 指定 .* 為 OCSP、LDAP 及 TCP 的網址模式,以允許使用者與 OCSP 伺服器、LDAP 伺服器或 TCP 伺服器通訊。
  11. Access control rules (存取控制規則) 索引標籤中,為每一個您指定的網址模式建立提取規則。 當您建立提取規則時,在 Authentication (驗證) 下拉式清單中,按一下 Integrated (整合) 或 Integrated and RSA (整合和 RSA)。
  12. 按一下 Save All (全部儲存)。
  13. 將提取規則指派給您要其存取內部網路網站或共用網路資料夾的使用者或群組。
  14. Servers and components (伺服器和元件) 功能表中,展開 BlackBerry solution topology > BlackBerry Domain > Component view > MDS Connection Service (BlackBerry 解決方案拓撲 > BlackBerry Domain > 元件檢視 > MDS Connection Service)。
  15. 按一下 BlackBerry MDS Connection Service 執行個體。
  16. 按一下 Edit instance (編輯執行個體)。
  17. Pull Authorization (提取授權) 下拉式清單中,按一下 Yes (是)。
  18. 按一下 Save All (全部儲存)。
  19. 為每一個 BlackBerry MDS Connection Service 執行個體,重複步驟 16 到 20。
Back To Top

此資訊對您是否有所助益?請將您的回應傳送給我們