Esquema de despliegue con la delegación limitada de Kerberos (KCD).

El esquema de despliegue con la delegación limitada de Kerberos (KCD) requiere que el Servidor de administración y el Servidor de MDM para iOS estén localizados en la intranet de la organización.

Este esquema de despliegue asegura lo siguiente:

• Integración con Microsoft Forefront TMG.
• Uso de KCD para la autenticación de dispositivos móviles.
• Integración con la PKI para aplicar certificados de usuario.

Al usar este esquema de despliegue, debe hacer lo siguiente:

• En la Consola de administración, en la configuración del servicio web de MDM de iOS, seleccione la casilla Garantizar la compatibilidad con la delegación limitada de Kerberos.
• Como con el certificado para el servicio web de MDM de iOS, especifique el certificado personalizado que se definió cuando se publicó el servicio web de MDM de iOS en TMG.
• Los certificados de usuario para los dispositivos iOS deben ser emitidos por la entidad de certificación (CA) del dominio. Si el dominio contiene varios CA raíz, los certificados de usuario deben ser emitidos por la CA que se especificó cuando se publicó el servicio web de MDM de iOS en TMG.

  Puede asegurarse de que el certificado de usuario cumpla con este requisito de la emisión de la CA con uno de los siguientes métodos:

  • Especifique el certificado de usuario en el Asistente para nuevo perfil de MDM para iOS y en el Asistente de instalación de certificados.
  • Integre el Servidor de administración con la PKI del dominio y defina la configuración correspondiente en las reglas para la emisión de certificados:
    1. En el árbol de consola, expanda la carpeta Administración de dispositivos móviles y seleccione la subcarpeta Certificados.
    2. En el espacio de trabajo de la carpeta Certificados, haga clic en el enlace Configurar reglas de emisión de certificados para abrir la ventana Reglas de emisión de certificados.
    3. En la sección Integración con la PKI, configure la integración con la infraestructura de clave pública.
    4. En la sección Emisión de certificados móviles, especifique el origen de los certificados.

A continuación, se especifica un ejemplo de la configuración de la delegación limitada de Kerberos (KCD) con las siguientes suposiciones:

• El servicio web de MDM de iOS se está ejecutando en el puerto 443.
• El nombre del dispositivo con TMG es tmg.mydom.local.
• El nombre del dispositivo con el servicio web de MDM de iOS es iosmdm.mydom.local.
• El nombre de la publicación externa del servicio web de MDM de iOS es iosmdm.mydom.global.

Nombre principal del servicio para http/iosmdm.mydom.local

En el dominio, debe registrar el nombre principal del servicio (SPN) para el dispositivo con el servicio web de MDM de iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuración de las propiedades de dominio del dispositivo con TMG (tmg.mydom.local)

Para delegar el tráfico, confíe al dispositivo con TMG (tmg.mydom.local) el servicio definido por el SPN (http/iosmdm.mydom.local).

Para confiar al dispositivo con TMG el servicio definido por el SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:

1. En el complemento de MMC denominado "Equipos y usuarios de Active Directory", seleccione el dispositivo con TMG instalado (tmg.mydom.local).
2. En las propiedades del dispositivo, en la ficha Delegación, configure la opción de Confiar en este equipo para la delegación al servicio especificado únicamente en Usar cualquier protocolo de autenticación.
3. Añada el SPN (http/iosmdm.mydom.local) a la lista Servicios a los que esta cuenta puede presentar credenciales delegadas.

Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)

Debe emitir un certificado especial (personalizado) para el servicio web de MDM de iOS en FQDN iosmdm.mydom.global y especificar que reemplaza el certificado predeterminado en la configuración del servicio web de MDM de iOS en la Consola de administración.

Tenga en cuenta que el contenedor del certificado (el archivo con la extensión p12 o pfx) también debe contener una cadena de certificados raíz (claves públicas).

Publicación del servicio web de MDM de iOS en TMG

En TMG, para el tráfico que va de un dispositivo móvil al puerto 443 de iosmdm.mydom.global, debe configurar KCD en el SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que el servicio web publicado y de publicación deben compartir el mismo certificado del servidor.

Consulte también: Configuración estándar: Kaspersky Device Management for iOS en DMZ Integración con la infraestructura de clave pública

Subir