Configurer la délégation contrainte Kerberos
Kerberos
Pour une configuration multidomaine, commencez toujours par configurer et tester un seul domaine, puis passez à l'ajout des autres domaines ou forêts.
Si vous configurez la KCD pour
BlackBerry Docs
, reportez-vous à la section Configuration de la délégation contrainte Kerberos pour le service Docs.Pour plus d'informations sur le fichier keytab, rendez-vous sur support.blackberry.com pour consulter l'article 42712.
- Associez le compte de serviceKerberosà un nom principal de service (SPN). Ouvrez une invite de commande administrateur sur le serveurActive Directoryet saisissezsetspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_account.Remplacez les variables de nom de serveur hôte, de domaine et de compte de service par des valeurs appropriées à votre environnement.Par exemple :setspn –s GCSvc/uem1.example.com example.com\kcdadminLe compte de serviceKerberosest le nom du compte de service sous lequel le service KCD sera configuré dansBlackBerry UEM(gc.krb5.principal.name). Ce compte n'a pas besoin d'être identique au compte de serviceBlackBerry UEM, mais peut l'être.
- Créez le fichier keytabKerberos. Vous devez générer un nouveau fichier keytab et le copier sur le serveurBlackBerry UEMlorsque vous modifiez le mot de passe du compteKerberos.La création du fichier keytabKerberosdéfinit également le mot de passe du compteKerberos. Le mot de passe défini dans cette commande définit le mot de passe du compte que vous spécifiez dans la commande. Si vous avez déjà reçu un mot de passe, veillez à utiliser ce même mot de passe. Si vous en utilisez un autre, celui-ci est réinitialisé. Cela inclut le mot de passe du compte de serviceBlackBerry UEM, si vous utilisez le compte de service UEM pour créer le fichier keytab. Pour créer un fichier keytab, procédez comme suit :
- Ouvrez une fenêtre d'invite de commande sur le serveur KDC.
- Utilisez la commande ktpass. Pour plus d'informations sur la commande ktpass, rendez-vous sur docs.microsoft.com.ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordoutfilenameIl s'agit du nom du fichier de sortie.kerberos_accountIl s'agit du nom du compteKerberos.REALM_IN_UPPERCASEIl s'agit du domaineKerberos. Le nom ne doit utiliser que des lettres majuscules.-pass kerberos_account_passwordIl s'agit du mot de passe existant pour le compteKerberosréutilisé. Si kerberos_account_password contient des caractères spéciaux, tels que ^, placez-les entre guillemets doubles.Par exemple :
ouktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password - Copiez le nouveau fichier keytab (kcdadmin.keytab dans les exemples) enregistré dans ce répertoire sur le serveurBlackBerry UEM. Important : si plusieurs serveursBlackBerry UEM Coresont configurés pour utiliser le même compte d'administrateur KCD, vous devez copier le fichier keytab sur chaque serveurBlackBerry UEM.Vous pouvez copier le fichier keytab à n'importe quel emplacement sur les serveurs, par exemple, c:\keytab. Vous devrez y faire référence ultérieurement, alors notez-le.
- Activez l'énumération des appartenances au groupe d'objets d'utilisateur AD. Pour plus d'informations, rendez-vous sur docs.microsoft.com et consultez la section « Comptes et groupes privilégiés dans Active Directory ».
- Sur le serveurBlackBerry UEM, configurez les autorisations pour le compte de serviceBlackBerry UEMafin qu'il puisse envoyer les informations d'identification de l'utilisateur au systèmeKerberos. Il s'agit du compte associé au nom principal de service (SPN). Pour configurer les autorisations, procédez comme suit :
- Ouvrez le voletStratégie de sécurité localedans la console Windows.
- SousStratégies locales, sélectionnezAttribution des droits d'utilisateur, puis cliquez avec le bouton droit de la souris surAgircomme partie intégrante du système d'exploitation dans le panneau de droite et sélectionnezPropriétés.
- Dans la fenêtrePropriétés, cliquez surAjouter un utilisateur ou un groupe, puis saisissez le nom du compte de service et cliquez surOK.
- Configurez les propriétés liées àKerberosdansBlackBerry UEM.Vous ne pouvez spécifier qu'un seul KDC (contrôleur de domaine) dans la configurationBlackBerry UEMde chaque serveurBlackBerry UEM Core. Cela signifie que tous les appels liés à un KCD vers le contrôleur de domaine seront toujours dirigés vers ce même KCD. Cela signifie également que si ce KCD tombe en panne, tous les appels liées à ce KCD échoueront.
- Dans Paramètres > BlackBerry Dynamics > Propriétés globales, les paramètres suivants sont requis pour activer KCD dans UEM.PropriétéDescriptionUtiliser un UPN expliciteActivez cette propriété pour forcer BlackBerry UEM à effectuer l'authentification à l'aide de l'UPN (User Principal Name, nom d'utilisateur principal) explicite stocké dans Active Directory au lieu de l'UPN implicite généré en combinant l'alias et le domaine d'un utilisateur.Activer KCD (gc.krb5.enabled)Cochez cette case pour activer KCD.
- Dans Paramètres > BlackBerry Dynamics > Propriétés (cliquez sur le nom du serveur), les paramètres suivants sont requis pour activer KCD dans UEM.PropriétéExempleDescriptiongc.krb5.kdc=<kdc_host_name>UEM1.EXAMPLE.COMNom complet de la KDC. Il correspond généralement au FQDN d'un contrôleur de domaineActive Directory.gc.krb5.keytab.file= <keytab_file_location>c:/keytab/kcdadmin.keytabEmplacement du fichier keytab. Dans le chemin d'accès, utilisez des barres obliques et non des barres obliques inverses.gc.krb5.principal.name= <kcd_service_account>kcdadmin@EXAMPLE.COMNom du compte de service utilisé par le service KCD.gc.krb5.realm=<REALM>EXAMPLE.COMNom du domaineActive Directory. La valeur doit être en majuscules.
- (Facultatif) créez un fichier krb5.conf. Cela n'est nécessaire que s'il existe une relation approuvée CAPATH. Consultez votre équipeActive Directorysi vous devez créer ce fichier.Le fichier krb5.conf est nécessaire pour établir des relations approuvées CAPATH de plusieurs domainesKerberos. L'emplacement du fichier krb5.conf sur le serveurBlackBerry UEMdoit être spécifié dans la propriété gc.krb5.config.file du serveur.Exemple de fichier krb5.conf :[libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = . } POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = . } APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}