ナビゲーションをスキップする

BlackBerry Dynamics
アプリ用 KCD の設定

  1. Kerberos
    サービスアカウントを SPN にマッピングするには、
    Active Directory
    サーバーで管理者としてコマンドプロンプトを開き、ホストサーバー名、ドメイン、および
    Kerberos
    サービスアカウントを指定して以下のように入力します。
    Kerberos
    サービスアカウントは、
    UEM
    で KCD サービスを設定するサービスアカウント名(gc.krb5.principal.name)です。このアカウントは、
    UEM
    サービスアカウントと同じである必要はありませんが、同じでもかまいません。
    setspn –s GCSvc/<UEM_Core_host_machine> <domain>\<Kerberos_service_account>
    例:
    setspn –s GCSvc/uem1.example.com example.com\kcdadmin
  2. 新しい
    Kerberos
    keytab ファイルを生成して
    Kerberos
    アカウントパスワードを設定するには、次の手順に従います。
    1. KDC サーバーで、コマンドプロンプトを開きます。
    2. 次のコマンドを実行し、適切な値を指定します。
      ktpass -out <output_filename>.keytab -mapuser <Kerberos_account>@<KERBEROS_REALM_IN_UPPERCASE> -princ <Kerberos_account>@<KERBEROS_REALM_IN_UPPERCASE> -ptype KRB5_NT_PRINCIPAL -pass <Kerberos_account_password>
      組織で複数レルム
      Kerberos
      環境を使用している場合は、代わりに次のコマンドを使用します。
      ktpass -out <output_filename>.keytab -mapuser <Kerberos_service_account>@<KERBEROS_REALM_IN_UPPERCASE> -princ GCSvc/<UEM_Core_host_machine> -princ GCSvc/<UEM_Core_host_machine>@<KERBEROS_REALM_IN_UPPERCASE> -ptype KRB5_NT_PRINCIPAL -pass <Kerberos_account_password>
    3. 新しい keytab ファイルを、同じ KCD 管理者アカウントを使用するすべての
      UEM
      サーバーにコピーします。
  3. Active Directory
    ユーザーオブジェクトグループメンバーシップの列挙を有効にします。詳細については、「補足説明 B:Active Directory の特権アカウントとグループ」を参照してください。
  4. UEM
    サーバーで、次の手順に従って
    UEM
    サービスアカウントの権限を設定し、
    Kerberos
    システムにユーザー資格情報を送信できるようにします(これは、SPN が関連付けられているのと同じアカウントです)。
    1. Microsoft
      管理コンソールで、
      [ローカルセキュリティポリシー] > [ローカルポリシー] > [ユーザー権限の割り当て]
      の順に移動します。
    2. [オペレーティングシステムの一部として機能]
      のプロパティを開き、
      [ユーザーまたはグループの追加]
      をクリックします。
    3. サービスアカウントの名前を入力し、
      [OK]
      をクリックします。
  5. UEM
    管理コンソールのメニューバーで、
    [設定] > [BlackBerry Dynamics] > [グローバルプロパティ]
    をクリックします。
  6. [明示的な UPN を使用]
    チェックボックスをオンにします。
  7. [KCD を有効にする]
    チェックボックスをオンにします。
  8. [保存]
    をクリックします。
  9. メニューバーで、
    [設定] > [BlackBerry Dynamics] > [プロパティ]
    の順にクリックし、サーバー名をクリックします。
  10. [KDC の完全修飾名(gc.krb5.kdc)]
    フィールドに、KDC の完全修飾名を入力します。通常、
    Active Directory
    ドメインコントローラーの FQDN に対応します。
  11. [keytab ファイルの場所(gc.krb5.keytab.file)]
    フィールドに、keytab ファイルの場所を入力します。パス名にはスラッシュを使用します。
  12. [KCD サービスが実行されているサービスアカウント名(gc.krb5.principal.name)]
    フィールドに、KCD サービスが使用するサービスアカウントの名前を入力します。
    複数レルム
    Kerberos
    環境では、代わりに次のように指定します。
    GCSvc/<UEM_Core_host_machine>
  13. [領域 - Active Directory(gc.krb5.realm)]
    フィールドに、
    Active Directory
    領域の名前をすべて大文字で入力します。
  14. [GC サーバー上の krb5.config ファイル(gc.krb5.config.file)の場所]
    フィールドに、krb5.conf ファイルの場所を入力します。
    krb5.conf ファイルの要件の詳細については、BlackBerry Dynamics アプリの KCD を設定するための前提条件 を参照してください。
  15. [保存]
    をクリックします。