Kerberos (KCD) мәжбүрлеп табыстау арқылы KES құрылғыларын Серверге қосу схемасы
KES құрылғыларын Kerberos Constrained Delegation (KCD) көмегімен Басқару серверіне қосу схемасы мыналарды қамтиды:
- KCD қолдайтын корпоративтік желілік экранмен интеграция.
- ұялы құрылғылардың түпнұсқалық растамасы үшін Kerberos Constrained Delegation (бұдан әрі KCD) мәжбүрлеп табыстауын пайдалану;
- пайдаланушы сертификаттарын пайдалану үшін жалпыға ортақ кілттер инфрақұрылымымен (Public Key Infrastructure, бұдан әрі PKI) біріктіру.
Осы қосылым схемасын пайдалану кезінде мыналарды ескеру қажет:
- KES құрылғыларын корпоративтік желілік экранға қосылым түрі "two-way SSL authentication" болуы тиіс, яғни құрылғы корпоративтік желілік экранға өзінің пайдаланушы сертификаты арқылы қосылуы керек. Бұл үшін құрылғыда орнатылған Kaspersky Endpoint Security for Android орнату пакетіне пайдаланушы сертификатын кіріктіру қажет. Бұл KES пакетін осы құрылғы (пайдаланушы) үшін арнайы Басқару сервері жасауы керек.
- Мобильді протокол үшін әдепкі бойынша серверлік сертификаттың орнына арнайы (кастомизацияланған) сертификат көрсетілуі керек:
- Басқару сервері сипаттары терезесінде, Параметрлер бөлімінде Ұялы құрылғыларға арналған портты ашу жалаушасын қою және ашылмалы тізімнен Сертификат қосу тармағын таңдау.
- Ашылған терезеде, Басқару серверінде мобильді протоколға қатынасу нүктесін жариялау кезінде корпоративтік желілік экранда берілген дәл сол сертификатты көрсетіңіз.
- KES құрылғылары үшін пайдаланушы сертификаттарын домендік Certificate Authority (CA) шығаруы керек. Бұл арада, доменде бірнеше түбірлік СА болса, онда пайдаланушы сертификаттары корпоративтік желілік экранға арналған жарияланымда жазылған CA тарапынан шығарылуы тиіс.
Пайдаланушы сертификатының жоғарыда айтылған талапқа сәйкестігі бірнеше тәсілмен қамтамасыз етілуі мүмкін:
- Орнату пакеттерін жасау шеберінде және сертификаттарды орнату шеберінде арнайы пайдаланушы сертификатын көрсету.
- Басқару серверін домендік PKI инфрақұрылымымен біріктіру және сертификаттарды шығару ережелерінде тиісті параметрді конфигурациялау:
- Ұялы құрылғыларды басқару қалтасындағы консоль шежіресінен Сертификаттар салынған қалтасын таңдаңыз.
- Сертификаттар қалтасының жұмыс аймағында, Сертификат беру ережелерін конфигурациялау түймесі арқылы Сертификаттарды шығару ережелері терезесін ашыңыз.
- PKI жүйесімен интеграциялау бөлімінде жалпыға ортақ кілт инфрақұрылымымен біріктіруді конфигурациялаңыз.
- Ұялы құрылғы сертификаттарын шығару бөлімінде сертификаттар көзін көрсетіңіз.
Келесі болжамдармен KCD шектеулі табыстау конфигурациясы мысалын қарастырайық:
- Басқару серверінде мобильді протоколға қатынасу нүктесі 13292-портта көтерілген;
- корпоративтік желілік экраны бар құрылғының атауы - firewall.mydom.local;
- Басқару сервері бар құрылғының атауы – ksc.mydom.local;
- мобильді протоколға қатынасу нүктесін сырты жариялау атауы – kes4mob.mydom.global.
Басқару сервері үшін домендік есептік жазба
Басқару сервері қызметі жұмыс істейтін домендік есептік жазбаны (мысалы, KSCMobileSrvcUsr) жасау қажет. Басқару сервері қызметі үшін есептік жазбаны, Басқару серверін орнату кезінде немесе klsrvswch утилитасын пайдалану арқылы көрсетуге болады. klsrvswch утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
Домендік есептік жазбаны келесі себептерге байланысты көрсету қажет:
- KES құрылғыларын басқару бойынша функционалдылық Басқару серверінің ажырамас бөлігі болып табылады.
- Мәжбүрлеп табыстау (KCD) дұрыс жұмыс істеуі үшін Басқару сервері болып табылатын қабылдаушы тарап домендік есептік жазбада жұмыс істеуі керек.
http/kes4mob.mydom.local үшін Service Principal Name
KSCMobileSrvcUsr есептік жазбасы бар доменде, Басқару сервері бар құрылғының 13292-портында мобильді протокол сервисінің жарияланымы үшін Service Principal Name (SPN) жазу керек. Басқару сервері бар kes4mob.mydom.local құрылғысы үшін бұл келесідей көрінетін болады:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Корпоративтік желілік экраны бар құрылғылардың домендік сипаттарын конфигурациялау (fiwall.mydom.local)
Трафикті табыстау үшін корпоративтік желілік экраны (firewall.mydom.local) бар құрылғыны SPN (http/kes4mob.mydom.local:13292) бойынша анықталған қызметке сеніп тапсыру қажет.
Корпоративтік желілік экраны бар құрылғыны SPN (http/kes4mob.mydom.local:13292) бойынша анықталған қызметке сеніп тапсыру үшін, әкімші келесі әрекеттерді орындауы керек:
- Microsoft Management Console "Active Directory Users and Computers" жабдықтарында корпоративтік желілік экраны (firewall.mydom.local) орнатылған құрылғыны таңдау керек.
- Delegation қойыншасындағы құрылғының сипаттарында Trust this computer for delegation to specified service only қосқышы үшін Use any authentication protocol нұсқасын таңдау.
- Services to which this account can present delegated credentials тізіміне SPN http/kes4mob.mydom.local:13292.
Жарияланым үшін ерекше (кастомизацияланған) сертификат (kes4mob.mydom.global)
Басқару серверінің мобильді протоколын жариялау үшін FQDN kes4mob.mydom.global мекенжайына арнайы (кастомизацияланған) сертификат шығару және оны әдепкі бойынша серверлік сертификаттың орнына Басқару консоліндегі Басқару сервері мобильді протоколының параметрлерінде көрсету керек. Бұл үшін, Басқару сервері сипаттары терезесінде, Параметрлер бөлімінде Ұялы құрылғыларға арналған портты ашу жалаушасын қою және ашылмалы тізімнен Сертификат қосу тармағын таңдау керек.
Серверлік сертификаты бар контейнерде (p12 немесе pfx кеңейтімі бар файл) түбірлік сертификаттар тізбегі (жария бөліктер) болуы керек екенін де ескеру қажет.
Корпоративтік желілік экранда жариялауды конфигурациялау
Корпоративтік желілік экранда ұялы құрылғы тарапынан kes4mob.mydom.global атты 13292-портқа баратын трафик үшін, FQDN kes4mob.mydom.global атауына арнап шығарылған серверлік сертификатты қолдану арқылы SPN http/kes4mob.mydom.local:13292 мекенжайына KCD конфигурациялау керек. Жарияланымда да, жарияланатын қатынасу нүктесінде де (Басқару серверінің 13292-порты) бірдей серверлік сертификат болуы керек екенін ескеру қажет.