Konfigurieren von KCD für BlackBerry
Dynamics-Apps
BlackBerry
Dynamics
-Apps- Wenn Sie KCD fürBlackBerry Docskonfigurieren, finden Sie weitere Informationen unter Konfigurieren der eingeschränkten Kerberos-Delegierung für den Docs-Dienst in derBlackBerry Enterprise Mobility Server-Dokumentation.
- Um dasKerberos-Dienstkonto einer SPN auf demActive Directory-Server zuzuordnen, öffnen Sie die Eingabeaufforderung als Administrator, und geben Sie Folgendes ein, wobei Sie den Namen des Hostservers, die Domäne und dasKerberos-Dienstkonto angeben. DasKerberos-Dienstkonto ist der Name des Dienstkontos, unter dem der KCD-Dienst inUEMkonfiguriert wird (gc.krb5.principal.name). Dieses Konto muss nicht mit demUEM-Dienstkonto identisch sein, kann jedoch.setspn –s GCSvc/<UEM_Core_host_machine> <domain>\<Kerberos_service_account>Beispiel:setspn –s GCSvc/uem1.example.com example.com\kcdadmin
- Führen Sie die folgenden Schritte aus, um eine neueKerberos-Schlüsseltabellendatei zu erstellen und das Kennwort für dasKerberos-Konto festzulegen:
- Öffnen Sie auf dem KDC-Server eine Eingabeaufforderung.
- Führen Sie den folgenden Befehl aus, und geben Sie die entsprechenden Werte an:ktpass -out <output_filename>.keytab -mapuser <Kerberos_account>@<KERBEROS_REALM_IN_ALL_CAPS> -princ <Kerberos_account>@<KERBEROS_REALM_IN_UPPERCASE> /ptype KRB5_NT_PRINCIPAL -pass <Kerberos_account_password>
- Kopieren Sie die neue Schlüsseltabellendatei auf jedenUEM-Server, auf dem Sie dasselbe KCD-Administratorkonto verwenden möchten.
- Erlauben Sie die Zählung der Gruppenmitgliedschaft vonActive Directory-Benutzerobjekten. Weitere Informationen finden Sie unter Anhang B: Privilegierte Konten und Gruppen in Active Directory.
- Führen Sie auf jedemUEM-Server die folgenden Schritte aus, um Berechtigungen für dasUEM-Dienstkonto zu konfigurieren, damit es Benutzeranmeldeinformationen an dasKerberos-System senden kann (dies ist dasselbe Konto, das über die zugehörige SPN verfügt):
- Navigieren Sie in derMicrosoft-Verwaltungskonsole zuLokale Sicherheitsrichtlinie > Lokale Richtlinien > Zuweisung von Benutzerrechten.
- Öffnen Sie die Eigenschaften vonAls Teil des Betriebssystems agieren, und klicken Sie aufBenutzer oder Gruppe hinzufügen.
- Geben Sie einen Namen für das Dienstkonto ein, und klicken Sie aufOK.
- Klicken Sie in der Menüleiste derUEM-Verwaltungskonsole aufEinstellungen > BlackBerry Dynamics > Globale Eigenschaften.
- Aktivieren Sie das KontrollkästchenExplizites UPN verwenden.
- Aktivieren Sie das KontrollkästchenKCD aktivieren.
- Klicken Sie aufSpeichern.
- Klicken Sie in der Menüleiste aufEinstellungen > BlackBerry Dynamics > Eigenschaftenund dann auf den Servernamen.
- Geben Sie in das FeldVollständig qualifizierter Name für das KDC (gc.krb5.kdc)den vollständig qualifizierten Namen für das KDC ein. Er entspricht in der Regel dem FQDN einesActive Directory-Domänen-Controllers.
- Geben Sie im FeldSpeicherort der Schlüsseltabellendatei (gc.krb5.keytab.file)den Speicherort der Schlüsseltabellendatei ein. Verwenden Sie Schrägstriche im Pfadnamen.
- Geben Sie in das FeldDienstkontoname, unter dem der KDC-Dienst ausgeführt wird (gc.krb5.principal.name)den Namen des Dienstkontos ein, das vom KCD-Dienst verwendet wird.
- Geben Sie im FeldBereich – Active Directory (gc.krb5.realm)den Namen desActive Directory-Bereichs in Großbuchstaben ein.
- Wenn Ihre Umgebung eine CAPATH-Vertrauensbeziehung für mehrereKerberos-Domänen erfordert, erstellen Sie eine krb5.conf-Datei. Geben Sie im FeldSpeicherort der krb5.config-Datei auf dem GC-Server (gc.krb5.config.file)den Speicherort der Datei ein.
- Klicken Sie aufSpeichern.