Konfigurieren der eingeschränkten Kerberos-Delegierung
Kerberos
-DelegierungBei einer Konfiguration mit mehreren Bereichen müssen Sie immer zuerst einen einzelnen Bereich konfigurieren und testen. Anschließend können die anderen Bereiche oder Gesamtstrukturen hinzugefügt werden.
Wenn Sie KCD für
BlackBerry Docs
konfigurieren, finden Sie weitere Informationen unter Konfigurieren der eingeschränkten Kerberos-Delegierung für den Docs-Dienst.Weitere Informationen über die Schlüsseltabellendatei finden Sie unter support.blackberry.com in Artikel 42712.
- Ordnen Sie dasKerberos-Dienstkonto einem Dienstprinzipalnamen (SPN) zu. Öffnen Sie eine Administrator-Eingabeaufforderung auf demActive Directory-Server, und geben Sie Folgendes ein:setspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_account.Ersetzen Sie die Variablen für den Hostservernamen, die Domain und das Dienstkonto durch Werte, die Ihrer Umgebung entsprechen.Beispiel:setspn –s GCSvc/uem1.example.com example.com\kcdadminDasKerberos-Dienstkonto ist der Name des Dienstkontos, unter dem der KCD-Dienst inBlackBerry UEMkonfiguriert wird (gc.krb5.principal.name). Dieses Konto muss nicht mit demBlackBerry UEM-Dienstkonto identisch sein, kann jedoch mit dem Konto identisch sein.
- Erstellen Sie dieKerberos-Schlüsseltabellendatei. Sie müssen eine neue Schlüsseltabellendatei erstellen und sie auf denBlackBerry UEM-Server kopieren, wenn Sie das Kennwort für dasKerberos-Konto ändern.Durch das Erstellen derKerberos-Schlüsseltabellendatei wird auch das Kennwort für dasKerberos-Konto festgelegt. Das Kennwort, das in diesem Befehl definiert wird, legt das Kennwort für das Konto fest, das Sie im Befehl angeben. Wenn Sie bereits ein Kennwort erhalten haben, stellen Sie sicher, dass Sie genau dieses Kennwort verwenden. Wenn Sie ein anderes Kennwort verwenden, wird das Kennwort zurückgesetzt. Dies gilt auch für das Kennwort desBlackBerry UEM-Dienstkontos, wenn Sie das UEM-Dienstkonto zum Erstellen der Schlüsseltabellendatei verwenden. Gehen Sie folgendermaßen vor, um die Schlüsseltabellendatei zu erstellen:
- Öffnen Sie ein Eingabeaufforderungsfenster auf dem KDC-Server.
- Verwenden Sie den Befehl ktpass. Weitere Informationen zum Befehl ktpass finden Sie unter docs.microsoft.com.ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordoutfilenameDies ist der Name der Ausgabedatei.kerberos_accountDies ist der Name desKerberos-Kontos.REALM_IN_UPPERCASEDas ist derKerberos-Bereich. Der Name darf nur Großbuchstaben enthalten.-pass kerberos_account_passwordDies ist das vorhandene Kennwort für das wiederverwendeteKerberos-Konto. Wenn kerberos_account_password Sonderzeichen wie ^ enthält, setzen Sie diese in doppelte Anführungszeichen.Beispiel:
oderktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password - Kopieren Sie die neue Schlüsseltabellendatei (kcdadmin.keytab in den Beispielen), die in diesem Verzeichnis gespeichert ist, auf denBlackBerry UEM-Server. Wichtig: Wenn Sie über mehrereBlackBerry UEM Core-Server verfügen, die für die Verwendung desselben KCD-Administratorkontos konfiguriert sind, müssen Sie die Schlüsseltabellendatei auf jedenBlackBerry UEM-Server kopieren.Sie können die Schlüsseltabellendatei an einen beliebigen Speicherort auf den Servern kopieren, z. B. c:\keytab. Da Sie später auf diesen Speicherort verweisen werden, notieren Sie ihn.
- Erlauben Sie die Zählung der Gruppenmitgliedschaft von AD-Benutzerobjekten. Weitere Informationen finden Sie unter docs.microsoft.com in „Privilegierte Konten und Gruppen in Active Directory“.
- Konfigurieren Sie auf demBlackBerry UEM-Server die Berechtigungen für dasBlackBerry UEM-Dienstkonto, damit von diesem Konto Benutzeranmeldeinformationen an dasKerberos-System gesendet werden können. Dies ist dasselbe Konto, das den zugehörigen Service Principal Name (SPN) hat. Führen Sie die folgenden Aktionen aus, um die Berechtigungen zu konfigurieren:
- Öffnen Sie den FensterbereichLokale Sicherheitsrichtliniein der Windows-Konsole.
- Wählen Sie unterLokale Richtliniendie OptionBenutzerrechtezuweisungenaus, klicken Sie im rechten Bereich mit der rechten Maustaste aufAls Teil des Betriebssystems agieren, und wählen SieEigenschaftenaus.
- Klicken Sie im FensterEigenschaftenaufBenutzer oder Gruppe hinzufügen, geben Sie dann den Namen des Dienstkontos ein, und klicken Sie aufOK.
- Konfigurieren SieKerberos-bezogene Eigenschaften inBlackBerry UEM.Sie können nur einen KDC (Domain Controller) in derBlackBerry UEM-Konfiguration für jedenBlackBerry UEM Core-Server angeben. Das bedeutet, dass alle KCD-bezogenen Aufrufe an den Domain Controller immer zu dieser einzelnen KCD gehen. Dies könnte bedeuten, dass alle KCD-Anrufe fehlschlagen, wenn ein KDC ausfällt.
- Unter „Einstellungen > BlackBerry Dynamics > Globale Eigenschaften“ sind die folgenden Einstellungen erforderlich, um KCD in UEM zu aktivieren.EigenschaftBeschreibungExplizites UPN verwendenAktivieren Sie diese Eigenschaft, damit BlackBerry UEM die Authentifizierung mit dem expliziten UPN durchführt, der in Active Directory gespeichert ist, und nicht mit dem impliziten UPN, der durch Kombination des Alias und der Domäne eines Benutzers generiert wird.KCD aktivieren (gc.krb5.enabled)Aktivieren Sie dieses Kontrollkästchen, um KCD zu aktivieren.
- Unter „Einstellungen > BlackBerry Dynamics > Eigenschaften“ (auf Servernamen klicken) sind die folgenden Einstellungen erforderlich, um KCD in UEM zu aktivieren.EigenschaftBeispielBeschreibunggc.krb5.kdc=<kdc_host_name>UEM1.EXAMPLE.COMDer vollständig qualifizierte Name für das KDC. Er entspricht in der Regel dem FQDN einesActive Directory-Domänen-Controllers.gc.krb5.keytab.file= <keytab_file_location>c:/keytab/kcdadmin.keytabDer Speicherort der Schlüsselspeicherdatei. Verwenden Sie im Pfadnamen Schrägstriche, keine umgekehrten Schrägstriche.gc.krb5.principal.name= <kcd_service_account>kcdadmin@EXAMPLE.COMDer Name des Dienstkontos, das vom KCD-Dienst verwendet wird.gc.krb5.realm=<REALM>BEISPIEL.COMName desActive Directory-Bereichs Der Wert muss in Großbuchstaben angegeben werden.
- (Optional) Erstellen Sie eine krb5.conf-Datei. Dies ist nur erforderlich, wenn eine vertrauenswürdige CAPATH-Verbindung vorhanden ist. Wenden Sie sich an IhrActive Directory-Team, wenn Sie diese Datei erstellen müssen.Die Datei krb5.conf ist erforderlich, um die CAPATH-Vertrauensbeziehungen mehrererKerberos-Domänen einzurichten. Der Speicherort der Datei krb5.conf auf demBlackBerry UEM-Server muss in der Servereigenschaft gc.krb5.config.file angegeben werden.Beispiel für krb5.conf-Datei:[libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = . } POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = . } APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}