ナビゲーションをスキップする
  1. BlackBerry Docs
  2. 12.16
  3. インストールと設定に関するドキュメント
  4. 設定
  5. BlackBerry Dynamics アプリをサポートするための BlackBerry UEM の設定
  6. BlackBerry Dynamics アプリの Kerberos の設定
  7. Kerberos 制約付き委任の設定

Kerberos
 制約付き委任の設定

複数レルム設定の場合は、常に最初に単一レルムを設定してテストしてから、他のレルムまたはフォレストの追加に進みます。
BlackBerry Docs
 用に KCD を設定する場合は、「Docs サービスの Kerberos 制約付き委任の設定」を参照してください。
keytab ファイルの詳細については、support.blackberry.com にアクセスし、記事 42712 を参照してください。
  1. Kerberos
     サービスアカウントをサービスプリンシパル名(SPN)にマッピングします。
    Active Directory
     サーバーで管理者コマンドプロンプトを開き、
    setspn –s GCSvc/UEM_Core_host_machine DOMAIN\Kerberos_service_account
     と入力します。
    ホストサーバー名、ドメイン、およびサービスアカウントの変数を環境に適した値に置き換えます。
    例:
     setspn –s GCSvc/uem1.example.com example.com\kcdadmin
    Kerberos
     サービスアカウントは、
    BlackBerry UEM
     で KCD サービスを設定するサービスアカウント名(gc.krb5.principal.name)です。このアカウントは、
    BlackBerry UEM
     サービスアカウントと同じである必要はありませんが、同じでもかまいません。
  2. Kerberos
     keytab ファイルを作成します。
    Kerberos
     アカウントパスワードを変更するときは、新しい keytab ファイルを生成して
    BlackBerry UEM
     サーバーにコピーする必要があります。
    Kerberos
     keytab ファイルを作成すると、
    Kerberos
     アカウントパスワードも設定されます。このコマンドで設定されたパスワードにより、コマンドで指定したアカウントのパスワードが設定されます。すでにパスワードが与えられている場合は、必ず同じパスワードを使用してください。異なるパスワードを使用すると、パスワードがリセットされます。UEM サービスアカウントを使用して keytab ファイルを作成する場合、このパスワードには
    BlackBerry UEM
     サービスアカウントのパスワードも含まれます。keytab ファイルを作成するには、次の操作を実行します。
    1. KDC サーバー上でコマンドプロンプトウィンドウを開きます。
    2. ktpass コマンドを使用します。ktpass コマンドの詳細については、docs.microsoft.com を参照してください。
       ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_ALL_CAPS -princ kerberos_account@REALM_IN_UPPERCASE/ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      outfilename
      これは出力ファイルの名前です。
      kerberos_account
      これは
      Kerberos
       アカウントの名前です。
      REALM_IN_UPPERCASE
      これは
      Kerberos
       レルムです。名前には大文字のみを使用する必要があります。
      -pass kerberos_account_password
      これは、再利用された
      Kerberos
       アカウントの既存のパスワードです。kerberos_account_password に ^ などの特殊文字が含まれている場合は、二重引用符で囲みます。 
       例:
      ktpass -out outfilename.keytab -mapuser kerberos_account@REALM_IN_UPPERCASE -princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL -pass kerberos_account_password
      または
      ktpass /out outfilename.keytab /mapuser kerberos_account@REALM_IN_UPPERCASE /princ kerberos_account@REALM_IN_UPPERCASE /ptype KRB5_NT_PRINCIPAL /pass kerberos_account_password
    3. このディレクトリに保存されている新しい keytab ファイル(例では kcdadmin.keytab)を
      BlackBerry UEM
       サーバーにコピーします。重要:重要:同じ KCD 管理者アカウントを使用するように設定されている
      BlackBerry UEM Core
       サーバーが複数ある場合は、すべての
      BlackBerry UEM
       サーバーに keytab ファイルをコピーする必要があります。 
      keytab ファイルは、c:\keytab など、サーバー上の任意の場所にコピーできます。この場所は後で参照するので、メモしておきます。
  3. AD ユーザーオブジェクトグループメンバーシップの列挙を有効にします。詳細については、docs.microsoft.com にアクセスして「Active Directory の特権アカウントとグループ」を参照してください。
  4. BlackBerry UEM
     サーバーで、ユーザー資格情報を
    Kerberos
     システムに送信できるように
    BlackBerry UEM
     サービスアカウントの権限を設定します。これは、関連付けられているサービスプリンシパル名(SPN)を持つアカウントと同じです。権限を設定するには、次の操作を実行します。
    1. Windows コンソールで
      [ローカルセキュリティポリシー]
      ペインを開きます。 
    2. [ローカルポリシー]
      で、
      [ユーザー権限の割り当て]
       を選択し、右側のパネルで
      [オペレーティングシステムの一部として機能]
      を右クリックし、
      [プロパティ]
      を選択します。 
    3. [プロパティ]
      ウィンドウで、
      [ユーザーまたはグループの追加]
      をクリックし、サービスアカウントの名前を入力して、
      [OK]
      をクリックします。 
  5. BlackBerry UEM
    Kerberos
     関連のプロパティを設定します。
    BlackBerry UEM Core
     サーバーの
    BlackBerry UEM
     設定では、KDC(ドメインコントローラー)を 1 つだけ指定できます。つまり、ドメインコントローラーへの KCD 関連のすべてのコールは、常にその 1 つの KCD に移動します。これは、その 1 つの KDC がダウンした場合、すべての KCD コールが失敗することを意味します。 
    • UEM で KCD を有効にするには、[設定] > [BlackBerry Dynamics] > [グローバルプロパティ]で、次の設定を行う必要があります。
      プロパティ
      説明
      明示的な UPN を使用
      このプロパティを有効にすると、ユーザーのエイリアスとドメインを組み合わせて生成される暗黙的な UPN ではなく、Active Directory に保存された明示的な UPN を使用して、BlackBerry UEM に認証を強制的に実行させることができます。 
      KCD を有効にする(gc.krb5.enabled)
      KCD を有効にするには、このチェックボックスをオンにします。
    • UEM で KCD を有効にするには、[設定] > [BlackBerry Dynamics] > [プロパティ](サーバー名をクリック)で、次の設定を行う必要があります。
      プロパティ
      説明
      gc.krb5.kdc=<kdc_host_name>
      UEM1.EXAMPLE.COM
      KDC の完全修飾名。通常、
      Active Directory
       ドメインコントローラーの FQDN に対応します。
      gc.krb5.keytab.file= <keytab_file_location>
      c:/keytab/kcdadmin.keytab
      keytab ファイルの場所。パス名には、バックスラッシュではなく、スラッシュを使用してください。
      gc.krb5.principal.name= <kcd_service_account>
      kcdadmin@EXAMPLE.COM
      KCD サービスで使用されるサービスアカウントの名前。
      gc.krb5.realm=<REALM>
      EXAMPLE.COM 
      Active Directory
       レルムの名前。値はすべて大文字にする必要があります。
  6. (オプション)krb5.conf ファイルを作成します。これは、CAPATH 信頼がある場合にのみ必要です。このファイルを作成する必要がある場合は、
    Active Directory
     チームに問い合わせてください。
    複数の
    Kerberos
     ドメインの CAPATH 信頼関係を確立するには krb5.conf ファイルが必要です。
    BlackBerry UEM
     サーバー上の krb5.conf ファイルの場所は、サーバープロパティ gc.krb5.config.file で指定する必要があります。
    krb5.conf ファイルの例:
    [libdefaults] default_realm = NA.POD1.COM [realms] NA.POD1.COM = { kdc = pod1-na-ad.na.pod1.com } [ capaths] NA.POD1.COM = { APAC.POD2.COM = POD2.COM POD2.COM = POD1.COM POD1.COM = .} POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = .} APAC.POD2.COM = { NA.POD1.COM = POD1.COM POD1.COM = POD2POD2.COM POD2.COM = .}