Le schéma de connexion des appareils KES au Serveur d'administration avec utilisation de Kerberos Constrained Delegation (KCD) suppose :
Lors de l'utilisation de ce schéma de connexion, il faut tenir compte des points suivants :
Il existe plusieurs moyens pour garantir la conformité du certificat utilisateur avec l'exigence présentée ci-dessus :
Voyons l'exemple de configuration de la délégation restreinte KCD avec les conditions suivantes :
Compte utilisateur de domaine pour le Serveur d'administration
Il faut créer un compte utilisateur de domaine (par exemple, KSCMobileSrvcUsr) sous lequel le service du Serveur d'administration va fonctionner. Il est possible d'indiquer le compte utilisateur du service du Serveur d'administration lors de l'installation du Serveur d'administration ou à l'aide de l'utilitaire klsrvswch. L'utilitaire klsrvswch se trouve dans le dossier d'installation du Serveur d'administration.
Il faut désigner le compte utilisateur de domaine pour les raisons suivantes :
Service Principal Name pour http/kes4mob.mydom.local
Dans le domaine, il faut prescrire sous le compte utilisateur KSCMobileSrvcUsr Service Principal Name (SPN) pour la publication du service du protocole mobile sur le port 13292 de l'appareil avec le Serveur d'administration. Pour l'appareil kes4mob.mydom.local avec le Serveur d'administration, cela ressemble à ceci :
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Configuration des propriétés de domaine des appareils avec TMG (tmg.mydom.local)
Pour déléguer le trafic, il faut confier l'appareil avec TMG (tmg.mydom.local) au service défini selon SPN (http/kes4mob.mydom.local:13292).
Pour confier l'appareil avec TMG au service défini selon SPN (http/kes4mob.mydom.local:13292), l'administrateur doit exécuter les actions suivantes :
Certificat spécial (personnalisé) pour la publication (kes4mob.mydom.global)
Pour la publication du protocole mobile du Serveur d'administration il faut octroyer un certificat spécial (personnalisé) au nom de domaine complet kes4mob.mydom.global et le désigner en substitution au certificat serveur par défaut dans les paramètres du protocole mobile du Serveur d'administration dans la Console d'administration. Pour cela, dans la section Paramètres de la fenêtre des propriétés du Serveur d'administration, il faut cocher la case Ouvrir le port pour les appareils mobiles, puis choisir Ajouter un certificat dans la liste déroulante.
N'oubliez pas que le conteneur où se trouve le certificat serveur (fichier avec extension p12 ou pfx) doit également contenir la chaîne de certificats racines (les parties publiques).
Configuration de la publication sur TMG
Sur TMG, pour le trafic allant du côté de l'appareil mobile sur le port 13292 port kes4mob.mydom.global, il faut configurer KCD sur SPN kes4mob.mydom.global:13292 avec l'utilisation du certificat serveur émis pour le nom de domaine complet kes4mob.mydom.global. N'oubliez pas qu'il faut prévoir le même certificat serveur pour les publications et pour le point d'accès publié (port 13292 du Serveur d'administration).