Omitir navegación
  1. BlackBerry Docs
  2. 12.17
  3. Instalación y configuración
  4. Configuración
  5. Configuración de BlackBerry UEM para admitir las aplicaciones de BlackBerry Dynamics
  6. Configuración de Kerberos para aplicaciones de BlackBerry Dynamics
  7. Configuración de la delegación restringida Kerberos

Configuración de la delegación restringida
Kerberos

Para realizar una configuración de dominios kerberos múltiples, empiece siempre configurando y probando un único dominio kerberos. A continuación, proceda añadiendo los demás dominios kerberos o bosques.
Para obtener información adicional sobre el archivo keytab, visite support.blackberry.com para leer el artículo 42712.
  1. Asigne la cuenta del servicio de
    Kerberos
     a un nombre principal de servicio (SPN). Abra un símbolo del sistema de administrador en el servidor
    Active Directory
     y escriba
    setspn –s GCSvc/UEM_Core_equipo_host DOMINIO\Kerberos_cuenta_servicio
    .
    Sustituya las variables de nombre de servidor host, dominio y cuenta de servicio con valores de tu entorno.
    Por ejemplo:
     setspn –s GCSvc/uem1.example.com example.com\kcdadmin
    La cuenta de servicio de
    Kerberos
     es el nombre de la cuenta de servicio bajo el que se configurará el servicio KCD en
    BlackBerry UEM
    (gc.krb5.nombre.principal). No es necesario que esta cuenta sea igual que la cuenta de servicio de
    BlackBerry UEM
    , pero puede serlo.
  2. Cree el archivo keytab de
    Kerberos
    . Debe generar un nuevo archivo keytab y copiarlo en el servidor
    BlackBerry UEM
    cuando cambie la contraseña de la cuenta de
    Kerberos
    .
    Crear el archivo keytab
    Kerberos
     también establece la contraseña de la cuenta de
    Kerberos
    . La contraseña establecida en este comando establece la contraseña para la cuenta que especifique en el comando. Si ya ha proporcionado una contraseña, asegúrese de utilizar la misma. Si utiliza una contraseña distinta, se reseteará la contraseña. Esto incluye la contraseña de la cuenta de servicio de
    BlackBerry UEM
    si utiliza la cuenta de servicio de UEM para crear el archivo keytab. Para crear el archivo keytab, lleve a cabo las siguientes acciones:
    1. Abra una ventana del símbolo del sistema en el servidor de KDC.
    2. Utilice el comando ktpass. Para obtener más información sobre el comando ktpass, visite docs.microsoft.com.
       ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      outfilename
      Este es el nombre del archivo de salida.
      kerberos_account
      Este es el nombre de la cuenta de
      Kerberos
      .
      REALM_IN_UPPERCASE
      Este es el dominio
      Kerberos
      . El nombre debe estar escrito solo en mayúsculas.
      -pass kerberos_account_password
      Esta es la contraseña de la cuenta de
      Kerberos
       reutilizada. Si kerberos_account_password contiene caracteres especiales, como ^, ponga comillas dobles al principio y al final de la contraseña. 
       Por ejemplo:
      ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      o
      ktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password
    3. Copie el nuevo archivo keytab (en los ejemplos es kcdadmin.keytab) guardado en este directorio en el servidor de
      BlackBerry UEM
       . Importante: Si tiene varios servidores
      BlackBerry UEM Core
       configurados para utilizar la misma cuenta de administrador de KCD, debe copiar el archivo keytab en todos los servidores
      BlackBerry UEM
      Puede copiar el archivo keytab en cualquier ubicación de los servidores. Por ejemplo: c:\keytab. Anote esta ubicación porque la necesitará más tarde.
  3. Active la enumeración de miembros del grupo de objetos de usuarios de AD. Para obtener más información, visite docs.microsoft.com y lea "Cuentas y grupos con privilegios en Active Directory".
  4. En el servidor
    BlackBerry UEM
    , configure los permisos de la cuenta de servicio de
    BlackBerry UEM
     para que pueda enviar las credenciales de usuario al sistema
    Kerberos
    . Esta es la misma cuenta que tiene asociado el nombre principal de servicio (SPN). Para configurar los permisos, realice las siguientes acciones:
    1. Abra el panel
      Política de seguridad local
       en la consola de Windows. 
    2. En
      Políticas locales
      , seleccione
      Asignación de derechos de usuario
      , haga clic con el botón derecho en
      Actuar como parte del sistema operativo
       y seleccione
      Propiedades
    3. En la ventana
      Propiedades
      , haga clic en
      Agregar usuario o grupo
      , escriba el nombre de la cuenta de servicio y haga clic en
      Aceptar
  5. Configure propiedades relacionadas con
    Kerberos
     en
    BlackBerry UEM
    .
    Puede especificar únicamente un KDC (controlador de dominio) en la configuración de
    BlackBerry UEM
     de cada servidor
    BlackBerry UEM Core
    . Esto significa que todas las llamadas de KCD al controlador de dominio irán siempre a ese único KCD. Esto podría implicar que, si ese único KCD queda fuera de servicio, todas las llamadas de KCD fallarán. 
    • En Configuración > BlackBerry Dynamics > Propiedades globales, los siguientes ajustes son necesarios para activar KCD en UEM.
      Propiedad
      Descripción
      Utilizar UPN explícitos
      Active esta propiedad para hacer que BlackBerry UEM realice una autenticación utilizando el UPN explícito almacenado en Active Directory en lugar de utilizar el UPN implícito que se genera al combinar el alias de usuario y el dominio. 
      Activar KCD (gc.krb5.enabled)
      Active esta casilla de verificación para activar KCD.
    • En Configuración > BlackBerry Dynamics > Propiedades (haga clic en el nombre del servidor), los siguientes ajustes son necesarios para activar KCD en UEM.
      Propiedad
      Ejemplo
      Descripción
      gc.krb5.kdc=<nombre_host_kcd>
      Artículo UEM1.EXAMPLE.COM
      El nombre de completo de KDC. Normalmente se corresponde con el FQDN de un controlador de dominio de
      Active Directory
      .
      gc.krb5.keytab.file= <ubicachón_archivo_keytab>
      c:/keytab/kcdadmin.keytab
      La ubicación del archivo keytab. Utiliza barras diagonales y no barras invertidas en el nombre de ruta.
      gc.krb5.principal.name= <cuenta_servicio_kcd>
      kcdadmin@EJEMPLO.COM
      El nombre de la cuenta de servicio utilizada por el servicio KCD.
      gc.krb5.realm=<DOMINIO KERBEROS>
      EXAMPLE.COM 
      El nombre del dominio kerberos de
      Active Directory
       El valor debe estar escrito íntegramente en mayúsculas.
  6. (Opcional) Cree un archivo krb5.conf. Esto solo es necesario si hay confianza CAPATH. Consulte con su equipo de
    Active Directory
     si necesita crear este archivo.
    El archivo krb5.conf es necesario para establecer las relaciones de confianza CAPATH de varios dominios
    Kerberos
    . La ubicación del archivo krb5.conf en el servidor
    BlackBerry UEM
     debe estar especificada en la propiedad del servidor gc.krb5.config.file.
    Ejemplo de archivo krb5.conf:
    [libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = . } POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = . } APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}