Omitir navegación

Requisitos de compatibilidad con
Kerberos
PKINIT para aplicaciones
BlackBerry Dynamics

BlackBerry UEM
es compatible con
Kerberos
PKINIT para la autenticación de usuarios de
BlackBerry Dynamics
mediante certificados PKI. Si desea utilizar
Kerberos
PKINIT para las aplicaciones de
BlackBerry Dynamics
, la empresa debe cumplir los requisitos siguientes:
Elemento
Requisitos
KDC
  • Debe añadir el host KDC a la lista de dominios permitidos en el perfil de conectividad
    BlackBerry Dynamics
    asignado. Para obtener más información, consulte Crear un perfil de conectividad de BlackBerry Dynamics en el contenido de Administración.
  • El host de KDC debe estar escuchando en el puerto TCP 88 (el puerto predeterminado de
    Kerberos
    ).
  • El KDC debe tener un registro A (IPv4) o un registro AAAA (IPv6) en su DNS.
  • BlackBerry Dynamics
    no es compatible con KDC a través de UDP.
  • BlackBerry Dynamics
    no utiliza archivos de configuración de
    Kerberos
    (como krb5.conf) para localizar el KDC correcto.
  • El KDC puede remitir al cliente a otro host de KDC.
    BlackBerry Dynamics
    seguirá la remisión, siempre que el host de KDC al que se remite se añada a la lista dominios permitidos en el perfil de conectividad de
    BlackBerry Dynamics
    .
  • El KDC puede obtener el TGT de forma transparente en
    BlackBerry Dynamics
    a partir de otro host de KDC.
  • No se debe activar la delegación restringida
    Kerberos
    .
Certificados del servidor
  • Los certificados de servidor de KDC de
    Windows
    emitidos a través de los servicios de certificados de
    Active Directory
    deben provenir únicamente de las siguientes versiones de
    Windows Server
    . El resto de versiones del servidor no son compatibles.
    • Internet Information Server con
      Windows Server
      2008 R2
    • Internet Information Server con
      Windows Server
      2012 R2
  • Los certificados de servicios de KDC válidos se deben encontrar en el almacén de certificados de
    BlackBerry Dynamics
    o el almacén de certificados de dispositivo.
Certificados de cliente
  • La longitud de clave mínima de los certificados debe ser 2048 bytes.
  • La propiedad de uso extendido de la clave del certificado debe ser inicio de sesión de tarjeta inteligente de
    Microsoft
    (1.3.6.1.4.1.311.20.2.2).
  • Los certificados del cliente deben incluir el nombre principal del usuario (por ejemplo, usuario@dominio.com) en el nombre alternativo del ID de objeto szOID_NT_PRINCIPAL_NAME 1.3.6.1.4.1.311.20.2.3.
  • Si se emite al usuario más de un certificado de cliente, el dominio del Nombre principal de usuario debe coincidir con el dominio del recurso al que se tiene acceso para garantizar que se utilice el certificado correcto.
  • Los certificados deben ser válidos. Valídelos en los servidores enumerados anteriormente.