Шаблон центра сертификации для распространения сертификатов Kerberos должен быть настроен надлежащим образом. В службах сертификации Active Directory (AD CS) можно дублировать существующий шаблон проверки подлинности Kerberos для настройки нового шаблона центра сертификации для проверки подлинности iOS с использованием Kerberos.

При копировании шаблона проверки подлинности Kerberos из AD CS в диалоговом окне «Свойства нового шаблона» необходимо настроить следующие сведения.

Рисунок 1. Диалоговое окно «Свойства нового шаблона» служб сертификации Active Directory

  • Вкладка Общие. Введите отображаемое имя и имя шаблона. Например, iOSKerberos. Это имя, которое отображается в оснастке шаблонов сертификатов и центра сертификации.

  • Вкладка Имя субъекта. Установите переключатель Предоставляется в запросе. Имя субъекта предоставляет AirWatch при запросе сертификата.

  • Вкладка Расширения. Определите политики приложений.

    • Выберите политики приложений и нажмите кнопку «Изменить», чтобы добавить новую политику приложений. Присвойте этой политике имя «Клиентская проверка подлинности Kerberos».

    • Добавьте такой идентификатор объекта (OID): 1.3.6.1.5.2.3.4. Не изменяйте его.

    • В списке «Описание политик приложений» удалите все политики, кроме политики «Клиентская проверка подлинности Kerberos» и «Проверка подлинности с помощью смарт-карты».

  • Вкладка Безопасность. Добавьте учетную запись AirWatch в список пользователей, которые могут использовать сертификат. Установите разрешения для учетной записи. Установите параметр «Полное управление», чтобы позволить субъекту безопасности изменять все атрибуты шаблона сертификата, в том числе разрешения для шаблона сертификата. В противном случае установите разрешения в соответствии с требованиями организации.

Сохраните изменения. Добавьте шаблон в список шаблонов, используемых центром сертификации Active Directory.

В AirWatch настройте центр сертификации и добавьте шаблон сертификата.