Skip Navigation

Konfigurieren von KCD für
BlackBerry Dynamics
-Apps

  1. Um das
    Kerberos
    -Dienstkonto einer SPN auf dem
    Active Directory
    -Server zuzuordnen, öffnen Sie die Eingabeaufforderung als Administrator, und geben Sie Folgendes ein, wobei Sie den Namen des Hostservers, die Domäne und das
    Kerberos
    -Dienstkonto angeben. Das
    Kerberos
    -Dienstkonto ist der Name des Dienstkontos, unter dem der KCD-Dienst in
    UEM
    konfiguriert wird (gc.krb5.principal.name). Dieses Konto muss nicht mit dem
    UEM
    -Dienstkonto identisch sein, kann jedoch.
    setspn –s GCSvc/<UEM_Core_host_machine> <domain>\<Kerberos_service_account>
    Beispiel:
    setspn –s GCSvc/uem1.example.com example.com\kcdadmin
  2. Führen Sie die folgenden Schritte aus, um eine neue
    Kerberos
    -Schlüsseltabellendatei zu erstellen und das Kennwort für das
    Kerberos
    -Konto festzulegen:
    1. Öffnen Sie auf dem KDC-Server eine Eingabeaufforderung.
    2. Führen Sie den folgenden Befehl aus, und geben Sie die entsprechenden Werte an:
      ktpass -out <output_filename>.keytab -mapuser <Kerberos_account>@<KERBEROS_REALM_IN_ALL_CAPS> -princ <Kerberos_account>@<KERBEROS_REALM_IN_UPPERCASE> /ptype KRB5_NT_PRINCIPAL -pass <Kerberos_account_password>
    3. Kopieren Sie die neue Schlüsseltabellendatei auf jeden
      UEM
      -Server, auf dem Sie dasselbe KCD-Administratorkonto verwenden möchten.
  3. Erlauben Sie die Zählung der Gruppenmitgliedschaft von
    Active Directory
    -Benutzerobjekten. Weitere Informationen finden Sie unter Anhang B: Privilegierte Konten und Gruppen in Active Directory.
  4. Führen Sie auf jedem
    UEM
    -Server die folgenden Schritte aus, um Berechtigungen für das
    UEM
    -Dienstkonto zu konfigurieren, damit es Benutzeranmeldeinformationen an das
    Kerberos
    -System senden kann (dies ist dasselbe Konto, das über die zugehörige SPN verfügt):
    1. Navigieren Sie in der
      Microsoft
      -Verwaltungskonsole zu
      Lokale Sicherheitsrichtlinie > Lokale Richtlinien > Zuweisung von Benutzerrechten
      .
    2. Öffnen Sie die Eigenschaften von
      Als Teil des Betriebssystems agieren
      , und klicken Sie auf
      Benutzer oder Gruppe hinzufügen
      .
    3. Geben Sie einen Namen für das Dienstkonto ein, und klicken Sie auf
      OK
      .
  5. Klicken Sie in der Menüleiste der
    UEM
    -Verwaltungskonsole auf
    Einstellungen > BlackBerry Dynamics > Globale Eigenschaften
    .
  6. Aktivieren Sie das Kontrollkästchen
    Explizites UPN verwenden
    .
  7. Aktivieren Sie das Kontrollkästchen
    KCD aktivieren
    .
  8. Klicken Sie auf
    Speichern
    .
  9. Klicken Sie in der Menüleiste auf
    Einstellungen > BlackBerry Dynamics > Eigenschaften
    und dann auf den Servernamen.
  10. Geben Sie in das Feld
    Vollständig qualifizierter Name für das KDC (gc.krb5.kdc)
    den vollständig qualifizierten Namen für das KDC ein. Er entspricht in der Regel dem FQDN eines
    Active Directory
    -Domänen-Controllers.
  11. Geben Sie im Feld
    Speicherort der Schlüsseltabellendatei (gc.krb5.keytab.file)
    den Speicherort der Schlüsseltabellendatei ein. Verwenden Sie Schrägstriche im Pfadnamen.
  12. Geben Sie in das Feld
    Dienstkontoname, unter dem der KDC-Dienst ausgeführt wird (gc.krb5.principal.name)
    den Namen des Dienstkontos ein, das vom KCD-Dienst verwendet wird.
  13. Geben Sie im Feld
    Bereich – Active Directory (gc.krb5.realm)
    den Namen des
    Active Directory
    -Bereichs in Großbuchstaben ein.
  14. Wenn Ihre Umgebung eine CAPATH-Vertrauensbeziehung für mehrere
    Kerberos
    -Domänen erfordert, erstellen Sie eine krb5.conf-Datei. Geben Sie im Feld
    Speicherort der krb5.config-Datei auf dem GC-Server (gc.krb5.config.file)
    den Speicherort der Datei ein.
  15. Klicken Sie auf
    Speichern
    .