Esquema de despliegue para usar la delegación restringida de Kerberos (KCD)

El esquema de despliegue en el que se contempla el uso de la delegación restringida de Kerberos (KCD) requiere que el Servidor de administración y el Servidor de MDM para iOS estén ubicados en la red interna de la organización.

Este esquema de despliegue permite lo siguiente:

• Integración con Microsoft Forefront TMG
• Uso de KCD para autenticación de dispositivos móviles
• Integración con PKI para aplicar certificados de usuario

Si elige usar este esquema de despliegue, debe hacer lo siguiente:

• En la Consola de administración, en la configuración del servicio web de MDM para iOS, seleccione la casilla Garantizar la compatibilidad con la delegación limitada de Kerberos.
• Como certificado para el servicio web de MDM para iOS, especifique el certificado personalizado que se definió cuando el servicio web de MDM para iOS se publicó en TMG.
• Los certificados de usuario para dispositivos iOS deben ser emitidos por la Entidad de certificación (CA) del dominio. Si el dominio contiene varias CA originales, los certificados de usuario deben ser emitidos por la CA que se especificó cuando el servicio web de MDM para iOS se publicó en TMG.

  Se puede asegurar de que el certificado cliente (certificado de usuario) se realice conforme a este requisito de emisión de CA usando uno de los métodos siguientes:

  • Especifique el certificado cliente (certificado de usuario) en el Asistente para crear un nuevo perfil de MDM para iOS y en el Asistente de instalación de certificados.
  • Integre el Servidor de administración con PKI del dominio y defina el parámetro correspondiente en las reglas para la emisión de certificados:
    1. En el árbol de consola, expanda la carpeta Administración de dispositivos móviles y seleccione la subcarpeta Certificados.
    2. En el espacio de trabajo de la carpeta Certificados, haga clic en el botón Configurar reglas de emisión de certificados para abrir la ventana Reglas de emisión de certificados.
    3. En la sección Integración con la PKI, configure la integración con la Infraestructura de clave pública.
    4. En la sección Emisión de certificados móviles, especifique el origen de los certificados.

A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:

• El servicio web de MDM para iOS se está ejecutando en el puerto 443.
• El nombre del dispositivo con TMG es tmg.mydom.local.
• El nombre del dispositivo con el servicio web de MDM para iOS es iosmdm.mydom.local.
• El nombre de publicación externa del servicio web de MDM para iOS es iosmdm.mydom.local.

Nombre principal de servicio para http/iosmdm.mydom.local

En el dominio, tiene que registrar el nombre principal de servicio (SPN) en el dispositivo con el servicio web de MDM para iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuración de las propiedades del dominio del dispositivo con TMG (tmg.mydom.local)

Para delegar el tráfico, delegue el dispositivo con TMG (tmg.mydom.local) al servicio que es definido por SPN (http/iosmdm.mydom.local).

Para delegar el dispositivo con TMG al servicio definido por SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:

1. En el complemento de Microsoft Management Console denominado "Usuarios y equipos de Active Directory", seleccione el dispositivo con TMG instalado (tmg.mydom.local).
2. En las propiedades del dispositivo, en la pestaña Delegación, configure la opción Confiar este equipo para delegación para un servicio especificado únicamente en Usar cualquier protocolo de autenticación.
3. Agregue el SPN (http/iosmdm.mydom.local) a los Servicios en los cuales esta cuenta puede presentar credenciales delegadas.

Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)

Tiene que emitir un certificado especial (personalizado) para el servicio web de MDM para iOS en FQDN iosmdm.mydom.global y especificar que reemplaza al certificado predeterminado en la configuración del servicio web de MDM para iOS en la Consola de administración.

Tenga en cuenta que el contenedor del certificado (archivo con la extensión p12 o pfx) también debe contener una cadena de certificados de origen (claves públicas).

Publicación del servicio web de MDM para iOS en TMG

En TMG, para el tráfico que va desde un dispositivo móvil al puerto 443 de iosmdm.mydom.global, tiene que configurar KCD en SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que la publicación y el servicio web publicado deben compartir el mismo certificado del servidor.

Consulte también: Configuración estándar: Kaspersky Device Management for iOS en una DMZ Integración con la infraestructura de claves públicas

Principio de página