Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:
Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:
Die Übereinstimmung mit den Anforderungen des oben erwähnten Benutzerzertifikates kann auf verschiedene Weisen gewährleistet werden:
Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:
Domänenbenutzerkonto für den Administrationsserver
Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".
Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:
Service Principal Name für http/kes4mob.mydom.local
In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Einstellungen der Domäneneigenschaften des Geräts mit TMG (tmg.mydom.local)
Für die Delegierung des Datenverkehres muss das Gerät mit TMG (tmg.mydom.local) dem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/kes4mob.mydom.local:13292).
Um das Gerät mit TMG dem gemäß SPN bestimmten Dienst anzuvertrauen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:
Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)
Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.
Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.
Einstellungen für die Veröffentlichung auf TMG
Auf TMG muss für den Datenverkehr, der von Seiten des mobilen Geräts auf den Port 13292 kes4mob.mydom.global geht, KCD auf SPN http/kes4mob.mydom.local:13292 unter Verwendung des für FQND kes4mob.mydom.global ausgestellten Serverzertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.