Mit dem Servicepack 2 für den BlackBerry Enterprise Server 5, das demnächst erscheinen wird, ist es möglich, Single Sign-On (SSO) für die Anmeldung am Administration Service und am Webdesktop zu verwenden.
Single Sign-On ermöglicht die Verwendung von Diensten, für die eine eigene Authentifizierung erforderlich ist, ohne zusätzliche Authentifizierung, sobald man in der Active Directory Domain angemeldet ist. Dies wird über das Kerberos Ticket erreicht.
Die folgende Anleitung zeigt die Schritte, die für die Aktivierung von Single Sign-On für den BlackBerry Enterprise Server 5.0.2 erforderlich sind. In der Anleitung werden folgende Namen für Accounts bzw. Computer verwendet, die durch die passenden Namen der eigenen Umgebung entsprechend ersetzt werden müssen:
- ts-berry1 = Servername des BlackBerry Enterprise Servers
- ts-berry1.roland.local = FQDN des BlackBerry Enterprise Servers
- besadmin = Name des Dienstaccounts, unter dem die BlackBerry Enterprise Server Dienste laufen
Registrierung der Kerberos-Dienstprinzipalnamen
Die vom BlackBerry Enterprise Server Administration Service verwendeten Kerberos-Dienstprinzipalnamen müssen im Active Directory registriert werden (siehe auch: http://technet.microsoft.com/de-de/library/ms178119.aspx). Dazu in einer DOS Shell auf dem Domain Controller nacheinander folgende Befehle eingeben:
setspn -A BASPLUGIN111/ts-berry1 besadmin setspn -A BASPLUGIN111/ts-berry1.roland.local besadmin setspn -A HTTP/ts-berry1 besadmin setspn -A HTTP/ts-berry1.roland.local besadmin setspn -A HTTPS/ts-berry1 besadmin setspn -A HTTPS/ts-berry1.roland.local besadmin
Aktivierung der Delegierung für den besadmin Account
Für den Dienstaccount besadmin muss anschließend die Delegierung aktiviert werden. Dazu in den Eigenschaften des Accounts unter dem Reiter “Delegierung” die Option “Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos)” aktivieren.
Aktivierung von Single Sign-On im BlackBerry Administration Service
Zur Aktivierung von Single Sign-On für den BlackBerry Administration Service und BlackBerry Webdesktop wie folgt vorgehen:
- Im Administration Service unter “Servers and components” zunächst “Topologie der BlackBerry-Lösung”, dann “BlackBerry Domain” und schließlich “Komponenten anzeigen” aufklappen
- “BlackBerry Administration Service” anklicken
- “Microsoft Active Directory-Authentifizierung” anklicken
- Komponente bearbeiten
- Den Eintrag “Die Authentifizierung der einmaligen Anmeldung für den BlackBerry Administration Service ist eingeschaltet” auf “Ja” umstellen
- “Alle speichern” anklicken
Nach einem Neustart des BlackBerry Administration Service ist Single Sign-On aktiv, wenn man den Administration Service mit dem Internet Explorer aufruft.
Loading ...
Hallo,
Problem gelöst:
bei einem BES-Cluster, welcher einen DNS-Pool-Namen verwendet, muss zusätzlich auch aus dem Pool-Namen ein entsprechender SPN generiert werden. Nachdem dies erledigt war, konnnte man die Option schließlich aktivieren.
Hallo,
habe alle Schritte wie oben beschrieben befolgt, doch leider erhalte ich beim Versuch die “einmalige Anmeldung” zu aktivieren, die folgende Meldung:
“Das von Ihnen angegebene Microsoft® Active Directory®-Konto ist nicht für die Authentifizierung nach einmaliger Anmeldung konfiguriert. Sie müssen dem Microsoft Active Directory-Konto einen Dienstprinzipalnamen zuweisen, bevor Sie das Konto zum BlackBerry® Administration Service hinzufügen können.”
Die Angaben in der Admin-Doku unterscheiden sich leider auch in ein paar Details von dem, wie es hier erläutert wird. Daher ist mir nicht ganz klar, woran es nun scheitert. Gibt es noch weitere Details bei der Konfiguration zu beachten?