Шаблон центра сертификации для распространения сертификатов Kerberos должен быть настроен надлежащим образом. В службах сертификации Active Directory (AD CS) можно дублировать существующий шаблон проверки подлинности Kerberos для настройки нового шаблона центра сертификации для проверки подлинности iOS с использованием Kerberos.

При копировании шаблона проверки подлинности Kerberos из AD CS в диалоговом окне «Свойства нового шаблона» необходимо настроить следующие сведения.

• Вкладка Общие. Введите отображаемое имя и имя шаблона. Например, iOSKerberos. Это имя, которое отображается в оснастке шаблонов сертификатов и центра сертификации.

• Вкладка Обработка запроса. Включите параметр Разрешить экспортировать закрытый ключ.

• Вкладка Имя субъекта. Установите переключатель Предоставляется в запросе. Когда Workspace ONE UEM запрашивает сертификат, Workspace ONE UEM предоставляет имя субъекта.

• Вкладка Расширения. Определите политики приложений.

  • Выберите политики приложений и нажмите кнопку «Изменить», чтобы добавить новую политику приложений. Присвойте этой политике имя «Клиентская проверка подлинности Kerberos».

  • Добавьте такой идентификатор объекта (OID): 1.3.6.1.5.2.3.4. Не изменяйте его.

  • В списке «Описание политик приложений» удалите все политики, кроме политики «Клиентская проверка подлинности Kerberos» и «Проверка подлинности с помощью смарт-карты».

• Вкладка Безопасность. Добавьте учетную запись Workspace ONE UEM в список пользователей, которые могут использовать сертификат. Установите разрешения для учетной записи. Установите параметр «Полное управление», чтобы позволить субъекту безопасности изменять все атрибуты шаблона сертификата, в том числе разрешения для шаблона сертификата. В противном случае установите разрешения в соответствии с требованиями организации.

Сохраните изменения. Добавьте шаблон в список шаблонов, используемых центром сертификации Active Directory.

В Workspace ONE UEM настройте центр сертификации и добавьте шаблон сертификата.