Шаблон центра сертификации для распространения сертификатов Kerberos должен быть настроен надлежащим образом. Для настройки нового шаблона центра сертификации для проверки подлинности Kerberos в iOS можно дублировать существующий шаблон проверки подлинности Kerberos в службе сертификации Active Directory (AD CS).
При копировании шаблона проверки подлинности Kerberos из AD CS в диалоговом окне «Свойства нового шаблона» необходимо настроить следующие сведения.
- Вкладка Общие. Введите отображаемое имя и имя шаблона. Например, iOSKerberos. Это имя, которое отображается в оснастке шаблонов сертификатов, сертификатов и центра сертификации.
- Вкладка Обработка запроса. Включите параметр Разрешить экспортировать закрытый ключ.
- Вкладка Имя субъекта. Установите переключатель Предоставляется в запросе. Workspace ONE UEM предоставляет имя субъекта при запросе сертификата.
- Вкладка Расширения. Определите политики приложений.
- Выберите политики приложений и нажмите кнопку «Изменить», чтобы добавить новую политику приложений. Присвойте этой политике имя Клиентская проверка подлинности Kerberos.
- Добавьте следующий идентификатор объекта (OID): 1.3.6.1.5.2.3.4. Не изменяйте его.
- В списке «Описание политик приложений» удалите все политики, кроме политики «Клиентская проверка подлинности Kerberos» и «Проверка подлинности с помощью смарт-карты».
- Вкладка Безопасность. Добавьте учетную запись Workspace ONE UEM в список пользователей, которые могут использовать сертификат. Установите разрешения для учетной записи. Установите параметр «Полное управление», чтобы позволить субъекту безопасности изменять все атрибуты шаблона сертификата, в том числе разрешения для шаблона сертификата. В противном случае установите разрешения в соответствии с требованиями организации.
Сохраните изменения. Добавьте шаблон в список шаблонов, используемых центром сертификации Active Directory.
В Workspace ONE UEM настройте центр сертификации и добавьте шаблон сертификата.