Acronis Access Advanced - Administrator's Guide Benutzerhandbuch
Seite 160
160
Copyright © Acronis International GmbH, 2002-2014
Nur der Gateway Server akzeptiert eine Kerberos-Authentifizierung. Der Access Server jedoch
nicht.
Die Access Client-Applikation muss im Client Management mit einem Gateway Server
registriert sein. Wenn der Client beim Access Server registriert ist, schlägt die Anmeldung
fehl.
Mobile Clients, die eine Kerberos-Authentifizierung verwenden, können sich nur bei
Netzwerkfreigaben und SharePoint-Sites authentifizieren. Sie können KCD nicht für den
Zugriff auf die Ordner von Acronis Access Sync & Share verwenden, da der Access-Dienst
keine Kerberos-Authentifizierung zulässt.
Voraussetzungen
Die folgende Software muss installiert und konfiguriert sein:
MobileIron VSP (in diesem Dokument wird auf Version 5.9 Bezug genommen)
Für eine ordnungsgemäße Funktion von Kerberos müssen die Benutzerkonten auf dem VSP aus
dem Active Directory stammen, das zur Unterstützung von Kerberos konfiguriert wird.
MobileIron Sentry (in diesem Dokument wird auf Version 4.8 Bezug genommen)
Installierter Access Server (in diesem Dokument wird auf Version 6.0.2 Bezug genommen)
Serverinteroperabilität
Die Uhrzeit auf den VSP-, Sentry-, Domain Controller- und Access-Servern muss
synchronisiert sein (NTP empfohlen).
Domänennamenauflösung (DNS). Sentry fordert ein Ticket vom KDC mithilfe des DNS-Namen
an, der für den Kontakt konfiguriert ist. Dieser Name muss mit dem Computernamen
übereinstimmen, der für die Kerberos-Delegierung eingerichtet wurde; ansonsten lehnt KDC
die Ausgabe eines Tickets ab.
Der VSP muss in der Lage sein, auf Sentry zuzugreifen (standardmäßig über die Ports 9090
und 443 – weitere je nach Ihrer Konfiguration).
Sentry muss in der Lage sein, auf das Active Directory und den Access Server zuzugreifen
(über die Ports 88, 389, 636).
Die Ports 88 (UDP und TCP) und 389 (TCP) zwischen Active Directory und Sentry (oder Port
636 (TCP), wenn Sie ein SSL-aktiviertes Active Directory verwenden) müssen für den
Datenverkehr geöffnet sein. Port 88 wird zur Kommunikation mit dem Kerberos-Protokoll
verwendet. Port 389 (oder 636) wird für das LDAP-Ping zwischen Sentry und KDC verwendet,
um zu überprüfen, ob die KDC-IP mit der Active Directory-IP identisch ist.
Bei Verwendung von Windows Server 2003 kann der KDC auf Anforderungen am Port 88
unter Verwendung von UDP anstatt von TCP warten. Sie können erzwingen, dass Kerberos
TCP statt UDP verwendet, indem Sie im Registry-Editor die MaxPacketSize von 0 in 1 ändern.
Weitere Informationen zur korrekten Vorgehensweise finden Sie im folgenden Microsoft
KB-Artikel: http://support.microsoft.com/kb/244474
Das iOS-Gerät muss in der Lage sein, eine Verbindung mit VSP und Sentry herzustellen.
Auf VSP registriertes iOS -Gerät.
Mobile@Work ist auf dem Gerät installiert und auf VSP registriert. Die MDM-Profile wurden
während der Registrierung ordnungsgemäß installiert.
Th emen
Konfigurieren eines AppConnect-Tunnels zwischen dem Access Mobile Client und
dem Access Server durch Authentifizierung per Benutzername/Kennwort.................. 161
Hinzufügen der Authentifizierung per eingeschränkter Kerberos-Delegierung ............ 173