Skip Navigation

Konfigurieren von
Kerberos
PKINIT

BlackBerry UEM
unterstützt
Kerberos
PKINIT für die
BlackBerry Dynamics
-Benutzerauthentifizierung mithilfe von PKI-Zertifikaten.
Wenn Sie
Kerberos
PKINIT für
BlackBerry Dynamics
-Apps verwenden möchten, muss Ihre Organisation die folgenden Anforderungen erfüllen:

Wichtige Punkte

  • Die eingeschränkte
    Kerberos
    -Delegierung darf nicht aktiviert sein.
  • Der KDC-Host muss der Liste der zulässigen Domänen im
    BlackBerry Dynamics
    -Konnektivitätsprofil hinzugefügt werden.
  • Der KDC-Host muss den TCP-Port 88 überwachen (der
    Kerberos
    -Standardport).
  • BlackBerry Dynamics
    bietet keine Unterstützung für das KDC über UDP.
  • Das KDC muss einen
    A
    - (IPv4) oder
    AAAA
    -Datensatz (IPv6) in Ihrem DNS aufweisen.
  • BlackBerry Dynamics
    verwendet keine
    Kerberos
    -Konfigurationsdateien (z. B.
    krb5.conf
    ), um das richtige KDC zu suchen.
  • Das KDC kann den Client auf einen anderen KDC-Host verweisen.
    BlackBerry Dynamics
    folgt dem Verweis, solange der KDC-Host, auf den verwiesen wird, der Liste der zulässigen Domänen im
    BlackBerry Dynamics
    -Konnektivitätsprofil hinzugefügt wird.
  • Das KDC kann das TGT transparent in
    BlackBerry Dynamics
    von einem anderen KDC-Host abrufen.

Serverzertifikate

  • Windows
    -KDC-Serverzertifikate, die über die Active Directory-Zertifikatdienste ausgegeben wurden, dürfen nur aus den folgenden
    Windows Server
    -Versionen stammen. Es werden keine anderen Serverversionen unterstützt.
    • Internet Information Server mit
      Windows Server
      2008 R2
    • Internet Information Server mit
      Windows Server
      2012 R2
  • Gültige KDC-Dienstzertifikate müssen sich entweder im
    BlackBerry Dynamics
    -Zertifikatspeicher oder im Gerätezertifikatspeicher befinden.

Client-Zertifikate

  • Die minimale Schlüssellänge für die Zertifikate muss 2.048 Byte betragen.
  • Client-Zertifikate müssen den Benutzerprinzipalnamen (UPN; zum Beispiel user@domain.com) im alternativen Antragstellernamen der Objekt-ID „szOID_NT_PRINCIPAL_NAME 1.3.6.1.4.1.311.20.2.3“ enthalten.
  • Die Domäne des Benutzerprinzipalnamens muss mit dem Namen des Bereichs des Windows KDC-Dienstes übereinstimmen.
  • Die Eigenschaft "Erweiterte Schlüsselnutzung" des Zertifikats muss
    Microsoft
    Smart Card-Anmeldung (1.3.6.1.4.1.311.20.2.2) lauten.
  • Zertifikate müssen gültig sein. Überprüfen Sie sie anhand der oben aufgeführten Server.