Kerberos 制約付き委任の設定
Kerberos
制約付き委任の設定複数レルム設定の場合は、常に最初に単一レルムを設定してテストしてから、他のレルムまたはフォレストの追加に進みます。
BlackBerry Docs
用に KCD を設定する場合は、「Docs サービスの Kerberos 制約付き委任の設定」を参照してください。keytab ファイルの詳細については、support.blackberry.com にアクセスし、記事 42712 を参照してください。
- Kerberosサービスアカウントをサービスプリンシパル名(SPN)にマッピングします。Active Directoryサーバーで管理者コマンドプロンプトを開き、setspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_accountと入力します。ホストサーバー名、ドメイン、およびサービスアカウントの変数を環境に適した値に置き換えます。例:setspn –s GCSvc/uem1.example.com example.com\kcdadminKerberosサービスアカウントは、BlackBerry UEMで KCD サービスを設定するサービスアカウント名(gc.krb5.principal.name)です。このアカウントは、BlackBerry UEMサービスアカウントと同じである必要はありませんが、同じでもかまいません。
- Kerberoskeytab ファイルを作成します。Kerberosアカウントパスワードを変更するときは、新しい keytab ファイルを生成してBlackBerry UEMサーバーにコピーする必要があります。Kerberoskeytab ファイルを作成すると、Kerberosアカウントパスワードも設定されます。このコマンドで設定されたパスワードにより、コマンドで指定したアカウントのパスワードが設定されます。すでにパスワードが与えられている場合は、必ず同じパスワードを使用してください。異なるパスワードを使用すると、パスワードがリセットされます。UEM サービスアカウントを使用して keytab ファイルを作成する場合、このパスワードにはBlackBerry UEMサービスアカウントのパスワードも含まれます。keytab ファイルを作成するには、次の操作を実行します。
- KDC サーバー上でコマンドプロンプトウィンドウを開きます。
- ktpass コマンドを使用します。ktpass コマンドの詳細については、docs.microsoft.com を参照してください。ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordoutfilenameこれは出力ファイルの名前です。kerberos_accountこれはKerberosアカウントの名前です。REALM_IN_UPPERCASEこれはKerberosレルムです。名前には大文字のみを使用する必要があります。-pass kerberos_account_passwordこれは、再利用されたKerberosアカウントの既存のパスワードです。kerberos_account_password に ^ などの特殊文字が含まれている場合は、二重引用符で囲みます。例:
またはktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_passwordktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password - このディレクトリに保存されている新しい keytab ファイル(例では kcdadmin.keytab)をBlackBerry UEMサーバーにコピーします。重要:重要:同じ KCD 管理者アカウントを使用するように設定されているBlackBerry UEM Coreサーバーが複数ある場合は、すべてのBlackBerry UEMサーバーに keytab ファイルをコピーする必要があります。keytab ファイルは、c:\keytab など、サーバー上の任意の場所にコピーできます。この場所は後で参照するので、メモしておきます。
- AD ユーザーオブジェクトグループメンバーシップの列挙を有効にします。詳細については、docs.microsoft.com にアクセスして「Active Directory の特権アカウントとグループ」を参照してください。
- BlackBerry UEMサーバーで、ユーザー資格情報をKerberosシステムに送信できるようにBlackBerry UEMサービスアカウントの権限を設定します。これは、関連付けられているサービスプリンシパル名(SPN)を持つアカウントと同じです。権限を設定するには、次の操作を実行します。
- Windows コンソールで[ローカルセキュリティポリシー]ペインを開きます。
- [ローカルポリシー]で、[ユーザー権限の割り当て]を選択し、右側のパネルで[オペレーティングシステムの一部として機能]を右クリックし、[プロパティ]を選択します。
- [プロパティ]ウィンドウで、[ユーザーまたはグループの追加]をクリックし、サービスアカウントの名前を入力して、[OK]をクリックします。
- BlackBerry UEMでKerberos関連のプロパティを設定します。各BlackBerry UEM CoreサーバーのBlackBerry UEM設定では、KDC(ドメインコントローラー)を 1 つだけ指定できます。つまり、ドメインコントローラーへの KCD 関連のすべてのコールは、常にその 1 つの KCD に移動します。これは、その 1 つの KDC がダウンした場合、すべての KCD コールが失敗することを意味します。
- UEM で KCD を有効にするには、[設定] > [BlackBerry Dynamics] > [グローバルプロパティ]で、次の設定を行う必要があります。プロパティ説明明示的な UPN を使用このプロパティを有効にすると、ユーザーのエイリアスとドメインを組み合わせて生成される暗黙的な UPN ではなく、Active Directory に保存された明示的な UPN を使用して、BlackBerry UEM に認証を強制的に実行させることができます。KCD を有効にする(gc.krb5.enabled)KCD を有効にするには、このチェックボックスをオンにします。
- UEM で KCD を有効にするには、[設定] > [BlackBerry Dynamics] > [プロパティ](サーバー名をクリック)で、次の設定を行う必要があります。プロパティ例説明gc.krb5.kdc=<kdc_host_name>UEM1.EXAMPLE.COMKDC の完全修飾名。通常、Active Directoryドメインコントローラーの FQDN に対応します。gc.krb5.keytab.file= <keytab_file_location>c:/keytab/kcdadmin.keytabkeytab ファイルの場所。パス名には、バックスラッシュではなく、スラッシュを使用してください。gc.krb5.principal.name= <kcd_service_account>kcdadmin@EXAMPLE.COMKCD サービスで使用されるサービスアカウントの名前。gc.krb5.realm=<REALM>EXAMPLE.COMActive Directoryレルムの名前。値はすべて大文字にする必要があります。
- (オプション)krb5.conf ファイルを作成します。これは、CAPATH 信頼がある場合にのみ必要です。このファイルを作成する必要がある場合は、Active Directoryチームに問い合わせてください。複数のKerberosドメインの CAPATH 信頼関係を確立するには krb5.conf ファイルが必要です。BlackBerry UEMサーバー上の krb5.conf ファイルの場所は、サーバープロパティ gc.krb5.config.file で指定する必要があります。krb5.conf ファイルの例:[libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = .} POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = .} APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}