Passer la navigation
  1. BlackBerry Docs
  2. 12.16
  3. Installation et configuration
  4. Configuration
  5. Configuration de BlackBerry UEM pour prendre en charge les applications BlackBerry Dynamics
  6. Configuration de Kerberos pour les applications BlackBerry Dynamics
  7. Configurer la délégation contrainte Kerberos

Configurer la délégation contrainte
Kerberos

Pour une configuration multidomaine, commencez toujours par configurer et tester un seul domaine, puis passez à l'ajout des autres domaines ou forêts.
Si vous configurez la KCD pour
BlackBerry Docs
, reportez-vous à la section Configuration de la délégation contrainte Kerberos pour le service Docs.
Pour plus d'informations sur le fichier keytab, rendez-vous sur support.blackberry.com pour consulter l'article 42712.
  1. Associez le compte de service
    Kerberos
     à un nom principal de service (SPN). Ouvrez une invite de commande administrateur sur le serveur
    Active Directory
     et saisissez
    setspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_account
    .
    Remplacez les variables de nom de serveur hôte, de domaine et de compte de service par des valeurs appropriées à votre environnement.
    Par exemple :
     setspn –s GCSvc/uem1.example.com example.com\kcdadmin
    Le compte de service
    Kerberos
     est le nom du compte de service sous lequel le service KCD sera configuré dans
    BlackBerry UEM
     (gc.krb5.principal.name). Ce compte n'a pas besoin d'être identique au compte de service
    BlackBerry UEM
    , mais peut l'être.
  2. Créez le fichier keytab
    Kerberos
    . Vous devez générer un nouveau fichier keytab et le copier sur le serveur
    BlackBerry UEM
     lorsque vous modifiez le mot de passe du compte
    Kerberos
    .
    La création du fichier keytab
    Kerberos
     définit également le mot de passe du compte
    Kerberos
    . Le mot de passe défini dans cette commande définit le mot de passe du compte que vous spécifiez dans la commande. Si vous avez déjà reçu un mot de passe, veillez à utiliser ce même mot de passe. Si vous en utilisez un autre, celui-ci est réinitialisé. Cela inclut le mot de passe du compte de service
    BlackBerry UEM
    , si vous utilisez le compte de service UEM pour créer le fichier keytab. Pour créer un fichier keytab, procédez comme suit :
    1. Ouvrez une fenêtre d'invite de commande sur le serveur KDC.
    2. Utilisez la commande ktpass. Pour plus d'informations sur la commande ktpass, rendez-vous sur docs.microsoft.com.
       ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      outfilename
      Il s'agit du nom du fichier de sortie.
      kerberos_account
      Il s'agit du nom du compte
      Kerberos
      .
      REALM_IN_UPPERCASE
      Il s'agit du domaine
      Kerberos
      . Le nom ne doit utiliser que des lettres majuscules.
      -pass kerberos_account_password
      Il s'agit du mot de passe existant pour le compte
      Kerberos
       réutilisé. Si kerberos_account_password contient des caractères spéciaux, tels que ^, placez-les entre guillemets doubles. 
       Par exemple :
      ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      ou
      ktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password
    3. Copiez le nouveau fichier keytab (kcdadmin.keytab dans les exemples) enregistré dans ce répertoire sur le serveur
      BlackBerry UEM
      . Important : si plusieurs serveurs
      BlackBerry UEM Core
       sont configurés pour utiliser le même compte d'administrateur KCD, vous devez copier le fichier keytab sur chaque serveur
      BlackBerry UEM
      Vous pouvez copier le fichier keytab à n'importe quel emplacement sur les serveurs, par exemple, c:\keytab. Vous devrez y faire référence ultérieurement, alors notez-le.
  3. Activez l'énumération des appartenances au groupe d'objets d'utilisateur AD. Pour plus d'informations, rendez-vous sur docs.microsoft.com et consultez la section « Comptes et groupes privilégiés dans Active Directory ».
  4. Sur le serveur
    BlackBerry UEM
    , configurez les autorisations pour le compte de service
    BlackBerry UEM
     afin qu'il puisse envoyer les informations d'identification de l'utilisateur au système
    Kerberos
    . Il s'agit du compte associé au nom principal de service (SPN). Pour configurer les autorisations, procédez comme suit :
    1. Ouvrez le volet 
      Stratégie de sécurité locale
       dans la console Windows. 
    2. Sous 
      Stratégies locales
      , sélectionnez 
      Attribution des droits d'utilisateur
      , puis cliquez avec le bouton droit de la souris sur 
      Agir
       comme partie intégrante du système d'exploitation dans le panneau de droite et sélectionnez 
      Propriétés
    3. Dans la fenêtre 
      Propriétés
      , cliquez sur 
      Ajouter un utilisateur ou un groupe
      , puis saisissez le nom du compte de service et cliquez sur 
      OK
  5. Configurez les propriétés liées à
    Kerberos
     dans
    BlackBerry UEM
    .
    Vous ne pouvez spécifier qu'un seul KDC (contrôleur de domaine) dans la configuration
    BlackBerry UEM
     de chaque serveur
    BlackBerry UEM Core
    . Cela signifie que tous les appels liés à un KCD vers le contrôleur de domaine seront toujours dirigés vers ce même KCD. Cela signifie également que si ce KCD tombe en panne, tous les appels liées à ce KCD échoueront. 
    • Dans Paramètres > BlackBerry Dynamics > Propriétés globales, les paramètres suivants sont requis pour activer KCD dans UEM.
      Propriété
      Description
      Utiliser un UPN explicite
      Activez cette propriété pour forcer BlackBerry UEM à effectuer l'authentification à l'aide de l'UPN (User Principal Name, nom d'utilisateur principal) explicite stocké dans Active Directory au lieu de l'UPN implicite généré en combinant l'alias et le domaine d'un utilisateur. 
      Activer KCD (gc.krb5.enabled)
      Cochez cette case pour activer KCD.
    • Dans Paramètres > BlackBerry Dynamics > Propriétés (cliquez sur le nom du serveur), les paramètres suivants sont requis pour activer KCD dans UEM.
      Propriété
      Exemple
      Description
      gc.krb5.kdc=<kdc_host_name>
      UEM1.EXAMPLE.COM
      Nom complet de la KDC. Il correspond généralement au FQDN d'un contrôleur de domaine
      Active Directory
      .
      gc.krb5.keytab.file= <keytab_file_location>
      c:/keytab/kcdadmin.keytab
      Emplacement du fichier keytab. Dans le chemin d'accès, utilisez des barres obliques et non des barres obliques inverses.
      gc.krb5.principal.name= <kcd_service_account>
      kcdadmin@EXAMPLE.COM
      Nom du compte de service utilisé par le service KCD.
      gc.krb5.realm=<REALM>
      EXAMPLE.COM 
      Nom du domaine
      Active Directory
      . La valeur doit être en majuscules.
  6. (Facultatif) créez un fichier krb5.conf. Cela n'est nécessaire que s'il existe une relation approuvée CAPATH. Consultez votre équipe
    Active Directory
     si vous devez créer ce fichier.
    Le fichier krb5.conf est nécessaire pour établir des relations approuvées CAPATH de plusieurs domaines
    Kerberos
    . L'emplacement du fichier krb5.conf sur le serveur
    BlackBerry UEM
     doit être spécifié dans la propriété gc.krb5.config.file du serveur.
    Exemple de fichier krb5.conf :
    [libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = . } POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = . } APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}