Omitir navegación

Requisitos previos para configurar KCD para las aplicaciones
BlackBerry Dynamics

Elemento
Descripción
Puerto
Active Directory
El puerto 88 del servicio
Active Directory
debe ser accesible para todos los servidores de
UEM
.
Entorno de
Kerberos
El entorno
Kerberos
debe incluir los siguientes componentes:
  • Servidor de
    Microsoft Active Directory
    : el servicio de directorios que autentica y autoriza a todos los usuarios y equipos asociados con su red de
    Windows
    .
  • Centro de distribución de claves de
    Kerberos
    (KCD): el servicio de autenticación del servidor de
    Active Directory
    que proporciona vales y claves de sesión a los usuarios y equipos del dominio de
    Active Directory
    .
  • Para utilizar KCD con los recursos de
    Microsoft 365
    , el dominio local de
    Active Directory
    debe estar integrado con
    Entra
    . Para obtener más información, consulte el artículo de Microsoft "Integración de AD local en Entra".
Archivo krb5.conf
Su entorno de
UEM
requiere un archivo krb5.conf con valores específicos para su KDC. Debe incluir la siguiente configuración mínima:
Cifrado RC4:
[libdefaults] allow_weak_crypto = true forwardable = true
Archivo keytab de AES:
[libdefaults] forwardable = true
Si utiliza un archivo keytab de AES, debe crear el archivo con un indicador AES de
/crypto AES256-SHA1
:
ktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_ALL_CAPS /princ kerberos_account@REALM_IN_ALL_CAPS /pass kerberos_account_password /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1
Debe especificar la ubicación del archivo krb5.conf en Configuración > BlackBerry Dynamics > Propiedades (consulte Configuración de KCD para aplicaciones BlackBerry Dynamics). Para obtener más información sobre cómo crear un archivo krb5.conf, consulte la Documentación de Kerberos del MIT.
Nombres principales de servicio (SPN)
Cree SPN para todos los servicios HTTP, incluido
BlackBerry Enterprise Mobility Server
. Debe establecer un SPN para cada recurso de destino al que quiere que los dispositivos puedan acceder.
Para obtener más información sobre cómo crear y modificar los SPN, consulte Registrar un nombre principal de servicio para las conexiones con Kerberos.
Entornos
Kerberos
con múltiples dominios
  • Debe instalarse un
    UEM Core
    en cada dominio
    Kerberos
    como mínimo.
    UEM
    debe ubicarse en el mismo dominio
    Kerberos
    que el recurso, ya que la delegación de recursos entre dominios no es compatible.
  • Asegúrese de que la KCD de un único dominio Kerberos funciona antes de configurar la KCD de múltiples dominios Kerberos.
  • Todas las confianzas deben ser confianzas de bosque transitivas y bidireccionales.
  • Garantice que haya un máximo de 5 ms de latencia entre las instancias de
    UEM Core
    y la base de datos de
    Microsoft SQL Server
    .
Si actualiza desde
UEM
versión 12.19 o anterior a
UEM
12.20 o posterior, debe hacer lo siguiente:
  1. Genere un nuevo archivo keytab de
    Kerberos
    y cópielo en cada servidor de
    UEM
    (consulte el paso 2 en Configuración de KCD para aplicaciones BlackBerry Dynamics).
  2. En Configuración > BlackBerry Dynamics > Propiedades, en el campo Nombre de la cuenta de servicio bajo el cual se ejecuta el servicio KCD (gc.krb5.principal.name), especifique lo siguiente:
    GCSvc/<UEM_Core_host_machine>