Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD)

Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD) uwzględnia:

Podczas korzystania z tego schematu połączenia należy pamiętać, że:

Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:

Konto domeny dla Serwera administracyjnego

Należy utworzyć konto domeny (na przykład: KSCMobileSrvcUsr), z poziomu którego będzie uruchamiana usługa Serwera administracyjnego. Konto dla usługi Serwera administracyjnego można określić podczas instalacji Serwera administracyjnego lub poprzez narzędzie klsrvswch. Narzędzie klsrvswch znajduje się w folderze instalacyjnym Serwera administracyjnego.

Konto domeny musi zostać określone z następujących względów:

Nazwa główna usługi dla http/kes4mob.mydom.local

W domenie, z poziomu konta KSCMobileSrvcUsr, dodaj SPN dla publikacji usługi protokołu mobilnego na porcie 13292 urządzenia z Serwerem administracyjnym. Dla urządzenia kes4mob.mydom.local z Serwerem administracyjnym będzie to wyglądało w następujący sposób:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Konfigurowanie właściwości domeny urządzenia z TMG (tmg.mydom.local)

Aby przeprowadzić ruch sieciowy, przełącz urządzenie z TMG (tmg.mydom.local) do usługi, która jest definiowana po SPN (http/kes4mob.mydom.local:13292).

W celu przełączenia urządzenia z TMG do usługi definiowanej po SPN (http/kes4mob.mydom.local:13292), administrator musi wykonać następujące działania:

  1. W przystawce Microsoft Management Console o nazwie „Użytkownicy i komputery usługi Active Directory” wybierz urządzenie z zainstalowanym TMG (tmg.mydom.local).
  2. We właściwościach urządzenia, na zakładce Delegowanie ustaw przełącznik Ufaj temu komputerowi w delegowaniu tylko do określonych usług na Użyj dowolnego protokołu uwierzytelniania.
  3. Na liście Usługi, którym to konto może przedstawiać delegowane poświadczenia dodaj SPN http/kes4mob.mydom.local:13292.

Specjalny (niestandardowy) certyfikat dla publikacji (kes4mob.mydom.global)

Aby opublikować protokół mobilny Serwera administracyjnego, należy wystawić specjalny (niestandardowy) certyfikat dla FQDN kes4mob.mydom.global, a także określić go w miejsce domyślnego certyfikatu serwera w ustawieniach protokołu mobilnego Serwera administracyjnego, w Konsoli administracyjnej. W tym celu, w oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.

Należy pamiętać, że kontener certyfikatów serwera (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).

Konfigurowanie publikacji na TMG

Na TMG, dla ruchu przechodzącego z urządzenia mobilnego do portu 13292 usługi kes4mob.mydom.global należy skonfigurować KCD na SPN (http/kes4mob.mydom.local:13292), korzystając z certyfikatu serwera opublikowanego dla FQDN kes4mob.mydom.global. Nie można zapominać, że publikacja oraz opublikowany punkt dostępu (port 13292 Serwera administracyjnego) powinny korzystać z tego samego certyfikatu serwera.

Zobacz również:

Integracja z infrastrukturą kluczy publicznych

Umożliwianie uzyskania dostępu do Serwera administracyjnego przez internet

Serwer administracyjny w sieci LAN, zarządzane urządzenia w Internecie, TMG w użyciu

Przejdź do góry