El esquema para conectar dispositivos KES al Servidor de administración utilizando la delegación restringida de Kerberos (KCD) permite lo siguiente:
Al usar este esquema de distribución, tenga en cuenta lo siguiente:
Se puede asegurar de que el certificado cliente (certificado de usuario) cumpla con el requisito descrito anteriormente usando uno de los métodos siguientes:
A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:
Cuenta del dominio para el Servidor de administración
Debe crear una cuenta de dominio (por ejemplo, KSCMobileSrvcUsr) bajo la cual se ejecutará el servicio del Servidor de administración. Puede especificar una cuenta para el servicio del Servidor de administración al instalar el Servidor de administración o a través de la utilidad klsrvswch. La utilidad klsrvswch se localiza en la carpeta de instalación del Servidor de administración. La ruta de instalación predeterminada: <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.
Una cuenta de dominio debe ser especificada por las siguientes razones:
Nombre principal del servicio para http/kes4mob.mydom.local
En el dominio, bajo la cuenta KSCMobileSrvcUsr, agregue un SPN para publicar el servicio del protocolo móvil en el puerto 13292 del dispositivo con el Servidor de administración. Para el dispositivo kes4mob.mydom.local con el Servidor de administración, esto aparecerá de la forma siguiente:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Configuración de las propiedades del dominio del dispositivo con TMG (tmg.mydom.local)
Para delegar el tráfico, confíe al dispositivo con TMG (tmg.mydom.local) el servicio definido por el SPN (http/kes4mob.mydom.local:13292).
Para delegar el dispositivo con TMG al servicio definido por SPN (http/kes4mob.mydom.local:13292), el administrador debe realizar las siguientes acciones:
Certificado especial (personalizado) para la publicación (kes4mob.mydom.global)
Para publicar el protocolo móvil del Servidor de administración, debe emitir un certificado (personalizado) especial para FQDN kes4mob.mydom.global y especificarlo en vez del certificado del servidor predeterminado en la configuración del protocolo móvil del Servidor de administración en la Consola de administración. Para hacerlo, en la ventana de propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y luego seleccione Agregar certificado en la lista desplegable.
Tenga en cuenta que el contenedor del certificado del servidor (el archivo con la extensión p12 o pfx) también debe contener una cadena de certificados raíz (claves públicas).
Configuración de la publicación de TMG
En TMG, para el tráfico que va desde un dispositivo móvil al puerto 13292 de kes4mob.mydom.global, tiene que configurar KCD en SPN (http/kes4mob.mydom.local:13292) usando el certificado del servidor emitido para FQND (kes4mob.mydom.global). Tenga en cuenta que la publicación y el punto de acceso publicado (puerto 13292 del Servidor de administración) deben compartir el mismo certificado del servidor.