ナビゲーションをスキップする
  1. BlackBerry Docs
  2. 12.16
  3. インストールと設定に関するドキュメント
  4. 設定
  5. BlackBerry Dynamics アプリをサポートするための BlackBerry UEM の設定
  6. BlackBerry Dynamics アプリの Kerberos の設定
  7. Kerberos PKINIT の設定

Kerberos
 PKINIT の設定

BlackBerry UEM
 は、PKI 証明書を使用した
BlackBerry Dynamics
 ユーザー認証に
Kerberos
 PKINIT をサポートしています。
BlackBerry Dynamics
 アプリで
Kerberos
 PKINIT を使用する場合、組織で次の要件を満たす必要があります。

重要なポイント

  • Kerberos
     制約付き委任を無効にする必要があります。
  • KDC ホストは
    BlackBerry Dynamics
     接続プロファイルの[許可ドメイン]リストに追加する必要があります。
  • KDC ホストは、TCP ポート 88(
    Kerberos
     デフォルトポート)で待機する必要があります。
  • BlackBerry Dynamics
     は、UDP を介した KDC をサポートしていません。
  • KDC は、DNS に
    A
     レコード(IPv4)または
    AAAA
     レコード(IPv6)を必要とします。
  • BlackBerry Dynamics
     は、正しい KDC の検索に、
    Kerberos
     設定ファイル(
    Krb5.conf
     など)を使用しません。
  • KDC は、クライアントに別の KDC ホストを参照させることができます。
    BlackBerry Dynamics
     は、参照される KDC ホストが
    BlackBerry Dynamics
     接続プロファイルの[許可ドメイン]リストに追加されている限り、照会に従います。
  • KDC は、別の KDC ホストから
    BlackBerry Dynamics
     へ TGT を透過的に取得できます。

サーバー証明書

  • Active Directory 証明書サービスで発行された
    Windows
     KDC サーバー証明書は、以下の
    Windows Server
     バージョンだけからのものである必要があります。これ以外のサーバーバージョンはサポートされていません。
    • Windows Server
       2008 R2 を含んだインターネット情報サーバー
    • Windows Server
       2012 R2 を含んだインターネット情報サーバー
  • 有効な KDC サービス証明書が、
    BlackBerry Dynamics
     証明書ストアまたはデバイス証明書ストアのいずれかに置かれている必要があります。

クライアント証明書

  • 証明書の最小キー長は 2,048 バイトにする必要があります。
  • クライアント証明書には、オブジェクト ID szOID_NT_PRINCIPAL_NAME 1.3.6.1.4.1.311.20.2.3 のサブジェクト別名にユーザープリンシパル名(user@domain.com など)が含まれている必要があります。
  • ユーザープリンシパル名のドメインは、Windows KDC サービスの領域の名前と一致している必要があります。
  • 証明書の拡張キー使用法プロパティは
    Microsoft
     スマートカードログオン(1.3.6.1.4.1.311.20.2.2)である必要があります。
  • 証明書が有効である必要があります。上記のサーバーに照らして確認してください。