Skip Navigation

Konfigurieren der eingeschränkten 
Kerberos
-Delegierung

Bei einer Konfiguration mit mehreren Bereichen müssen Sie immer zuerst einen einzelnen Bereich konfigurieren und testen. Anschließend können die anderen Bereiche oder Gesamtstrukturen hinzugefügt werden.
Wenn Sie KCD für 
BlackBerry Docs
konfigurieren, finden Sie weitere Informationen unter Konfigurieren der eingeschränkten Kerberos-Delegierung für den Docs-Dienst.
Weitere Informationen über die Schlüsseltabellendatei finden Sie unter support.blackberry.com in Artikel 42712.
  1. Ordnen Sie das
    Kerberos
    -Dienstkonto einem Dienstprinzipalnamen (SPN) zu. Öffnen Sie eine Administrator-Eingabeaufforderung auf dem 
    Active Directory
    -Server, und geben Sie Folgendes ein:
    setspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_account
    .
    Ersetzen Sie die Variablen für den Hostservernamen, die Domain und das Dienstkonto durch Werte, die Ihrer Umgebung entsprechen.
    Beispiel:
    setspn –s GCSvc/uem1.example.com example.com\kcdadmin
    Das
    Kerberos
    -Dienstkonto ist der Name des Dienstkontos, unter dem der KCD-Dienst in
    BlackBerry UEM
    konfiguriert wird (gc.krb5.principal.name). Dieses Konto muss nicht mit dem
    BlackBerry UEM
    -Dienstkonto identisch sein, kann jedoch mit dem Konto identisch sein.
  2. Erstellen Sie die
    Kerberos
    -Schlüsseltabellendatei. Sie müssen eine neue Schlüsseltabellendatei erstellen und sie auf den
    BlackBerry UEM
    -Server kopieren, wenn Sie das Kennwort für das
    Kerberos
    -Konto ändern.
    Durch das Erstellen der 
    Kerberos
    -Schlüsseltabellendatei wird auch das Kennwort für das 
    Kerberos
    -Konto festgelegt. Das Kennwort, das in diesem Befehl definiert wird, legt das Kennwort für das Konto fest, das Sie im Befehl angeben. Wenn Sie bereits ein Kennwort erhalten haben, stellen Sie sicher, dass Sie genau dieses Kennwort verwenden. Wenn Sie ein anderes Kennwort verwenden, wird das Kennwort zurückgesetzt. Dies gilt auch für das Kennwort des
    BlackBerry UEM
    -Dienstkontos, wenn Sie das UEM-Dienstkonto zum Erstellen der Schlüsseltabellendatei verwenden. Gehen Sie folgendermaßen vor, um die Schlüsseltabellendatei zu erstellen:
    1. Öffnen Sie ein Eingabeaufforderungsfenster auf dem KDC-Server.
    2. Verwenden Sie den Befehl ktpass. Weitere Informationen zum Befehl ktpass finden Sie unter docs.microsoft.com.
      ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      outfilename
      Dies ist der Name der Ausgabedatei.
      kerberos_account
      Dies ist der Name des
      Kerberos
      -Kontos.
      REALM_IN_UPPERCASE
      Das ist der 
      Kerberos
      -Bereich. Der Name darf nur Großbuchstaben enthalten.
      -pass kerberos_account_password
      Dies ist das vorhandene Kennwort für das wiederverwendete
      Kerberos
      -Konto. Wenn kerberos_account_password Sonderzeichen wie ^ enthält, setzen Sie diese in doppelte Anführungszeichen. 
       Beispiel:
      ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      oder
      ktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password
    3. Kopieren Sie die neue Schlüsseltabellendatei (kcdadmin.keytab in den Beispielen), die in diesem Verzeichnis gespeichert ist, auf den
      BlackBerry UEM
      -Server. Wichtig: Wenn Sie über mehrere
      BlackBerry UEM Core
      -Server verfügen, die für die Verwendung desselben KCD-Administratorkontos konfiguriert sind, müssen Sie die Schlüsseltabellendatei auf jeden
      BlackBerry UEM
      -Server kopieren. 
      Sie können die Schlüsseltabellendatei an einen beliebigen Speicherort auf den Servern kopieren, z. B. c:\keytab. Da Sie später auf diesen Speicherort verweisen werden, notieren Sie ihn.
  3. Erlauben Sie die Zählung der Gruppenmitgliedschaft von AD-Benutzerobjekten. Weitere Informationen finden Sie unter docs.microsoft.com in „Privilegierte Konten und Gruppen in Active Directory“.
  4. Konfigurieren Sie auf dem
    BlackBerry UEM
    -Server die Berechtigungen für das
    BlackBerry UEM
    -Dienstkonto, damit von diesem Konto Benutzeranmeldeinformationen an das
    Kerberos
    -System gesendet werden können. Dies ist dasselbe Konto, das den zugehörigen Service Principal Name (SPN) hat. Führen Sie die folgenden Aktionen aus, um die Berechtigungen zu konfigurieren:
    1. Öffnen Sie den Fensterbereich
      Lokale Sicherheitsrichtlinie
      in der Windows-Konsole. 
    2. Wählen Sie unter
      Lokale Richtlinien
      die Option
      Benutzerrechtezuweisungen
      aus, klicken Sie im rechten Bereich mit der rechten Maustaste auf
      Als Teil des Betriebssystems agieren
      , und wählen Sie
      Eigenschaften
      aus. 
    3. Klicken Sie im Fenster
      Eigenschaften
      auf
      Benutzer oder Gruppe hinzufügen
      , geben Sie dann den Namen des Dienstkontos ein, und klicken Sie auf
      OK
  5. Konfigurieren Sie
    Kerberos
    -bezogene Eigenschaften in
    BlackBerry UEM
    .
    Sie können nur einen KDC (Domain Controller) in der
    BlackBerry UEM
    -Konfiguration für jeden
    BlackBerry UEM Core
    -Server angeben. Das bedeutet, dass alle KCD-bezogenen Aufrufe an den Domain Controller immer zu dieser einzelnen KCD gehen. Dies könnte bedeuten, dass alle KCD-Anrufe fehlschlagen, wenn ein KDC ausfällt. 
    • Unter „Einstellungen > BlackBerry Dynamics > Globale Eigenschaften“ sind die folgenden Einstellungen erforderlich, um KCD in UEM zu aktivieren.
      Eigenschaft
      Beschreibung
      Explizites UPN verwenden
      Aktivieren Sie diese Eigenschaft, damit BlackBerry UEM die Authentifizierung mit dem expliziten UPN durchführt, der in Active Directory gespeichert ist, und nicht mit dem impliziten UPN, der durch Kombination des Alias und der Domäne eines Benutzers generiert wird. 
      KCD aktivieren (gc.krb5.enabled)
      Aktivieren Sie dieses Kontrollkästchen, um KCD zu aktivieren.
    • Unter „Einstellungen > BlackBerry Dynamics > Eigenschaften“ (auf Servernamen klicken) sind die folgenden Einstellungen erforderlich, um KCD in UEM zu aktivieren.
      Eigenschaft
      Beispiel
      Beschreibung
      gc.krb5.kdc=<kdc_host_name>
      UEM1.EXAMPLE.COM
      Der vollständig qualifizierte Name für das KDC. Er entspricht in der Regel dem FQDN eines
      Active Directory
      -Domänen-Controllers.
      gc.krb5.keytab.file= <keytab_file_location>
      c:/keytab/kcdadmin.keytab
      Der Speicherort der Schlüsselspeicherdatei. Verwenden Sie im Pfadnamen Schrägstriche, keine umgekehrten Schrägstriche.
      gc.krb5.principal.name= <kcd_service_account>
      kcdadmin@EXAMPLE.COM
      Der Name des Dienstkontos, das vom KCD-Dienst verwendet wird.
      gc.krb5.realm=<REALM>
      BEISPIEL.COM 
      Name des 
      Active Directory
      -Bereichs Der Wert muss in Großbuchstaben angegeben werden.
  6. (Optional) Erstellen Sie eine krb5.conf-Datei. Dies ist nur erforderlich, wenn eine vertrauenswürdige CAPATH-Verbindung vorhanden ist. Wenden Sie sich an Ihr
    Active Directory
    -Team, wenn Sie diese Datei erstellen müssen.
    Die Datei krb5.conf ist erforderlich, um die CAPATH-Vertrauensbeziehungen mehrerer
    Kerberos
    -Domänen einzurichten. Der Speicherort der Datei krb5.conf auf dem
    BlackBerry UEM
    -Server muss in der Servereigenschaft gc.krb5.config.file angegeben werden.
    Beispiel für krb5.conf-Datei:
    [libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = . } POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = . } APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}