Anschlussschema für KES-Geräte mit dem Server unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:

• Integration mit Microsoft Forefront Threat Management Gateway (im Weiteren TMG).
• Nutzung der erzwungenen Delegierung Kerberos Constrained Delegation (im Weiteren KCD) für die Authentifizierung der mobilen Geräte.
• Integration mit der Infrastruktur der offenen Schlüssel (Public Key Infrastructure, im Weiteren PKI) zur Verwendung von Benutzerzertifikaten.

Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:

• Der Verbindungstyp der KES-Geräte zu TMG muss "two-way SSL authentication" sein, das heißt, das Gerät muss gemäß seinem Benutzerzertifikat mit TMG verbunden werden. Dazu muss im Installationspaket von Kaspersky Endpoint Security für Android, das auf dem Gerät installiert ist, das Benutzerzertifikat integriert sein. Dieses KES-Paket muss vom Administrationsserver speziell für das betreffende Gerät (den Benutzer) erstellt worden sein.
• Anstelle des Standardserverzertifikats muss für das mobile Protokoll ein besonderes (benutzerspezifisches) Zertifikat angegeben werden:
  1. Aktivieren Sie Im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen, wählen Sie in der Dropdown-Liste die Option Zertifikat hinzufügen aus.
  2. Im folgenden Fenster dasselbe Zertifikat angeben, das auf TMG bei der Veröffentlichung des Zugriffspunkts für das mobile Protokoll auf dem Administrationsserver festgelegt ist.
• Die Benutzerzertifikate für die KES-Geräte müssen von der Domänen-Certificate Authority (CA) ausgestellt werden. Dabei ist zu berücksichtigen, dass für den Fall, dass in der Domäne mehrere Stamm-CA vorhanden sind, müssen die Benutzerzertifikate von jener CA ausgeschrieben sein, die in der Veröffentlichung auf TMG vorgeschrieben ist.

  Die Übereinstimmung mit den Anforderungen des oben erwähnten Benutzerzertifikates kann auf verschiedene Weisen gewährleistet werden:

  • Ein besonderes Benutzerzertifikat im Assistenten für das Erstellen von Installationspaketen und im Assistenten für die Installation eines Zertifikats angeben.
  • Den Administrationsserver mit Domänen-PKI integrieren und die entsprechende Einstellung in den Regeln für die Ausstellung von Zertifikaten anpassen:
    1. Erweitern Sie die Konsolenstruktur im Ordner Mobile Geräte verwalten und wählen Sie den Unterordner Zertifikate aus.
    2. Öffnen Sie durch Klicken auf die Schaltfläche Regeln für das Ausstellen von Zertifikaten anpassen im Arbeitsbereich des Ordners Zertifikate das Fenster Regeln für das Ausstellen von Zertifikaten.
    3. Passen Sie im Abschnitt PKI-Integration die Integration mit der Public-Key-Infrastruktur an.
    4. Geben Sie im Abschnitt Mobile Zertifikate ausstellen die Quelle der Zertifikate an.

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

• Der Zugriffspunkt auf das mobile Protokoll auf dem Administrationsserver liegt auf Port 13292.
• Der Gerätename mit TMG lautet tmg.mydom.local.
• Der Gerätename mit dem Administrationsserver lautet ksc.mydom.local.
• Der Name der externen Veröffentlichung des Zugriffspunkts auf das mobile Protokoll lautet kes4mob.mydom.global.

Domänenbenutzerkonto für den Administrationsserver

Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers.

Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:

• Die Funktionalität zur Verwaltung von KES-Geräten ist ein untrennbarer Bestandteil des Administrationsservers.
• Für die ordnungsgemäße Ausführung der erzwungenen Delegierung (KCD) muss die übernehmende Seite, also der Administrationsserver ist, unter dem Domänenbenutzerkonto arbeiten.

Service Principal Name für http/kes4mob.mydom.local

In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Einstellungen der Domäneneigenschaften des Geräts mit TMG (tmg.mydom.local)

Für die Delegierung des Datenverkehres muss das Gerät mit TMG (tmg.mydom.local) dem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/kes4mob.mydom.local:13292).

Um das Gerät mit TMG dem gemäß SPN bestimmten Dienst anzuvertrauen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:

1. Im Snap-in Microsoft Management Console "Active Directory Users and Computers" muss das Gerät mit installiertem TMG (tmg.mydom.local) ausgewählt werden.
2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
3. SPN http/kes4mob.mydom.local:13292 zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)

Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.

Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Einstellungen für die Veröffentlichung auf TMG

Auf TMG muss für den Datenverkehr, der von Seiten des mobilen Geräts auf den Port 13292 kes4mob.mydom.global geht, KCD auf SPN http/kes4mob.mydom.local:13292 unter Verwendung des für FQND kes4mob.mydom.global ausgestellten Serverzertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.