ナビゲーションをスキップする
  1. BlackBerry Docs
  2. 12.19
  3. UEM 設定ガイド
  4. BlackBerry Dynamics アプリのネットワーク通信とプロパティの設定
  5. BlackBerry Dynamics アプリ用の Kerberos 認証の設定
  6. BlackBerry Dynamics アプリ用 KCD の設定

BlackBerry Dynamics
 アプリ用 KCD の設定

  1. Kerberos
     サービスアカウントを SPN にマッピングするには、
    Active Directory
     サーバーで管理者としてコマンドプロンプトを開き、ホストサーバー名、ドメイン、および
    Kerberos
     サービスアカウントを指定して以下のように入力します。
    Kerberos
     サービスアカウントは、
    UEM
     で KCD サービスを設定するサービスアカウント名(gc.krb5.principal.name)です。このアカウントは、
    UEM
     サービスアカウントと同じである必要はありませんが、同じでもかまいません。
    setspn –s GCSvc/<UEM_Core_host_machine> <domain>\<Kerberos_service_account>
    例:
    setspn –s GCSvc/uem1.example.com example.com\kcdadmin
  2. 新しい
    Kerberos
     keytab ファイルを生成して
    Kerberos
     アカウントパスワードを設定するには、次の手順に従います。
    1. KDC サーバーで、コマンドプロンプトを開きます。
    2. 次のコマンドを実行し、適切な値を指定します。
      ktpass -out <output_filename>.keytab -mapuser <Kerberos_account>@<KERBEROS_REALM_IN_ALL_CAPS> -princ <Kerberos_account>@<KERBEROS_REALM_IN_UPPERCASE> /ptype KRB5_NT_PRINCIPAL -pass <Kerberos_account_password>
    3. 新しい keytab ファイルを、同じ KCD 管理者アカウントを使用するすべての
      UEM
       サーバーにコピーします。
  3. Active Directory
     ユーザーオブジェクトグループメンバーシップの列挙を有効にします。詳細については、「補足説明 B:Active Directory の特権アカウントとグループ」を参照してください。
  4. UEM
     サーバーで、次の手順に従って
    UEM
     サービスアカウントの権限を設定し、
    Kerberos
     システムにユーザー資格情報を送信できるようにします(これは、SPN が関連付けられているのと同じアカウントです)。
    1. Microsoft
       管理コンソールで、
      [ローカルセキュリティポリシー] > [ローカルポリシー] > [ユーザー権限の割り当て]
      の順に移動します。
    2. [オペレーティングシステムの一部として機能]
      のプロパティを開き、
      [ユーザーまたはグループの追加]
      をクリックします。
    3. サービスアカウントの名前を入力し、
      [OK]
      をクリックします。
  5. UEM
     管理コンソールのメニューバーで、
    [設定] > [BlackBerry Dynamics] > [グローバルプロパティ]
    をクリックします。
  6. [明示的な UPN を使用]
    チェックボックスをオンにします。
  7. [KCD を有効にする]
    チェックボックスをオンにします。
  8. [保存]
    をクリックします。
  9. メニューバーで、
    [設定] > [BlackBerry Dynamics] > [プロパティ]
    の順にクリックし、サーバー名をクリックします。
  10. [KDC の完全修飾名(gc.krb5.kdc)]
    フィールドに、KDC の完全修飾名を入力します。通常、
    Active Directory
     ドメインコントローラーの FQDN に対応します。
  11. [keytab ファイルの場所(gc.krb5.keytab.file)]
    フィールドに、keytab ファイルの場所を入力します。パス名にはスラッシュを使用します。
  12. [KCD サービスが実行されているサービスアカウント名(gc.krb5.principal.name)]
    フィールドに、KCD サービスが使用するサービスアカウントの名前を入力します。
  13. [領域 - Active Directory(gc.krb5.realm)]
    フィールドに、
    Active Directory
     領域の名前をすべて大文字で入力します。
  14. 環境で複数の
    Kerberos
     ドメインとの CAPATH 信頼関係が必要な場合は krb5.conf ファイルを作成します。
    [GC サーバー上の krb5.config ファイル(gc.krb5.config.file)の場所]
    フィールドに、ファイルの場所を入力します。
  15. [保存]
    をクリックします。