ナビゲーションをスキップする
  1. BlackBerry Docs
  2. 12.19
  3. UEM 設定ガイド
  4. BlackBerry Dynamics アプリのネットワーク通信とプロパティの設定
  5. BlackBerry Dynamics アプリ用の Kerberos 認証の設定
  6. BlackBerry Dynamics アプリでの Kerberos PKINIT のサポート要件

BlackBerry Dynamics
 アプリでの
Kerberos
 PKINIT のサポート要件

BlackBerry UEM
 は、PKI 証明書を使用した
BlackBerry Dynamics
 ユーザー認証に
Kerberos
 PKINIT をサポートしています。
BlackBerry Dynamics
 アプリで
Kerberos
 PKINIT を使用する場合、組織で次の要件を満たす必要があります。
項目
要件
KDC
  • KDC ホストを、割り当てられた
    BlackBerry Dynamics
     接続プロファイルの許可されたドメインのリストに追加する必要があります。詳細については、管理関連の資料の「BlackBerry Dynamics 接続プロファイルの作成」を参照してください。
  • KDC ホストは、TCP ポート 88(
    Kerberos
     デフォルトポート)で待機する必要があります。
  • KDC は、DNS に A レコード(IPv4)または AAAA レコード(IPv6)を必要とします。
  • BlackBerry Dynamics
     は、UDP を介した KDC をサポートしていません。
  • BlackBerry Dynamics
     は、正しい KDC の検索に、
    Kerberos
     設定ファイル(krb5.conf など)を使用しません。
  • KDC は、クライアントに別の KDC ホストを参照させることができます。
    BlackBerry Dynamics
     は、参照される KDC ホストが
    BlackBerry Dynamics
     接続プロファイルの許可されたドメインのリストに追加されている限り、照会に従います。
  • KDC は、別の KDC ホストから
    BlackBerry Dynamics
     へ TGT を透過的に取得できます。
  • Kerberos
     制約付き委任を無効にする必要があります。
サーバー証明書
  • Active Directory
     証明書サービスで発行された
    Windows
     KDC サーバー証明書は、以下の
    Windows Server
     バージョンだけからのものである必要があります。これ以外のサーバーバージョンはサポートされていません。
    • Windows Server
       2008 R2 を含んだインターネット情報サーバー
    • Windows Server
       2012 R2 を含んだインターネット情報サーバー
  • 有効な KDC サービス証明書が、
    BlackBerry Dynamics
     証明書ストアまたはデバイス証明書ストアのいずれかに置かれている必要があります。
クライアント証明書
  • 証明書の最小キー長は 2,048 バイトにする必要があります。
  • 証明書の拡張キー使用法プロパティは
    Microsoft
     スマートカードログオン(1.3.6.1.4.1.311.20.2.2)である必要があります。
  • クライアント証明書には、オブジェクト ID szOID_NT_PRINCIPAL_NAME 1.3.6.1.4.1.311.20.2.3 のサブジェクト別名にユーザープリンシパル名(user@domain.com など)が含まれている必要があります。
  • ユーザーが複数のクライアント証明書を発行された場合、正しい証明書が使用されるように、ユーザープリンシパル名のドメインは、アクセスされているリソースのドメインと一致する必要があります。
  • 証明書が有効である必要があります。上記のサーバーに照らして確認してください。