連線 KES 裝置到 Kerberos constrained delegation (KCD) 伺服器的方案

連線 KES 裝置到 Kerberos constrained delegation (KCD) 管理伺服器的方案包括如下：

• 與 Microsoft Forefront TMG 的整合。
• 將 Kerberos Constrained Delegation (KCD) 用於行動裝置身分驗證。
• 與公共金鑰基礎架構 (PKI) 整合以套用使用者憑證。

當使用該連線方案時，請注意以下幾點：

• 連線 KES 裝置到 TMG 的類型必須是“雙向 SSL 身分驗證”，就是，裝置必須透過先前使用者憑證連線到 TMG。為此，您不要整合使用者憑證到 Kaspersky Endpoint Security for Android 安裝套件。該 KES 套件必須由裝置指定的管理伺服器建立。
• 您必須指定特定（自訂）憑證，而不是行動協定的預設伺服器憑證：
  1. 在管理伺服器的內容視窗，在設定區域，選取為行動裝置開啟連接埠核取方塊，然後在下拉清單中選取新增憑證。
  2. 在開啟的視窗中，指定當到行動協定的存取點被發佈在管理伺服器時設定在 TMG 上的憑證。
• KES 裝置的使用者憑證必須由網域中的 Certificate Authority (CA) 發佈。記住，如果網域包含多個多個根 CA，使用者憑證必須被該 CA 發佈，這已設定在 TMG 發佈中。

  您可以透過以下方法確保使用者憑證與上述需求相容：

  • 在新增安裝套件精靈和憑證安裝精靈中指定使用者憑證。
  • 將管理伺服器與網域的 PKI 整合並在憑證發佈規則中定義對應的設定：
    1. 在主控台樹狀目錄中，展開行動裝置管理資料夾與憑證子資料夾。
    2. 在憑證資料夾中，點擊配置憑證發佈規則按鈕以開啟憑證發佈規則視窗。
    3. 在與 PKI 整合區域，配置與公共金鑰基礎架構的整合。
    4. 在行動憑證發佈區域，指定憑證來源。

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子：

• 管理伺服器到行動協定的存取點被設定成連接埠 13292。
• TMG 裝置名稱是 tmg.mydom.local。
• 管理伺服器裝置名稱是 ksc.mydom.local。
• 存取點到行動協定的外部發佈位址是 kes4mob.mydom.global。

管理伺服器網域帳戶

您必須建立執行管理伺服器服務的網域帳戶（例如，KSCMobileSrvcUsr）。您可以在安裝管理伺服器或使用 klsrvswch 實用程式時指定管理伺服器服務帳戶。klsrvswch 實用程式位於管理伺服器安裝資料夾。

網域帳戶必須由以下原因指定：

• KES 裝置管理功能是管理伺服器的一部分。
• 要確保 Kerberos Constrained Delegation (KCD) 的正常功能，接收端（例如，管理伺服器）必須執行在網域帳戶下。

http/kes4mob.mydom.local 的服務主體名稱

在網域中，在 KSCMobileSrvcUsr 帳戶下，新增 SPN 以在管理伺服器裝置的連接埠 13292 發佈行動協議服務。對於管理伺服器裝置 kes4mob.mydom.local，將是如下：

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

配置 TMG 裝置的網域內容 (tmg.mydom.local)

要授權流量，您必須信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292)。

要信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292)，管理員必須執行以下操作：

1. 在名稱為“Active Directory 使用者和電腦”的 Microsoft Management Console 中，選取安裝了 TMG 的裝置 (tmg.mydom.local)。
2. 在裝置內容視窗，在授權標籤，設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議。
3. 在該帳戶可以展示已授權憑證的服務清單，新增 SPN http/kes4mob.mydom.local:13292。

要發佈的特定（自訂）憑證 (kes4mob.mydom.global)

要發佈管理伺服器行動協議，您必須發佈一個 FQDN kes4mob.mydom.global 特定（自訂）憑證並在管理主控台中管理伺服器的行動協議設定中指定它以代替預設伺服器憑證。為此，在管理伺服器的內容視窗，在設定區域，選取為行動裝置開啟連接埠核取方塊，然後在下拉清單中選取新增憑證。

請注意伺服器憑證容器（帶有 .p12 或 .pfx 副檔名的檔案）必須也包含根憑證鏈（公共金鑰）。

在 TMG 上配置發佈

在 TMG 上，對於從行動裝置到連接埠 kes4mob.mydom.global 連接埠 13292 的流量，您必須在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD，使用為 FQND kes4mob.mydom.global 發佈的憑證。請注意，正發佈和已發佈的存取點（管理伺服器連接埠 13292）必須共用相同的伺服器憑證。

另請參閱： 與公共金鑰基礎架構整合 提供到管理伺服器的網際網路存取 管理伺服器位於 LAN、受管理裝置位於網際網路、TMG 使用中

頁頂