Esquema de despliegue para usar la delegación restringida de Kerberos (KCD)

El esquema de despliegue en el que se contempla el uso de la delegación restringida de Kerberos (KCD) requiere que el Servidor de administración y el Servidor de MDM para iOS estén ubicados en la red interna de la organización.

Este esquema de despliegue permite lo siguiente:

Si elige usar este esquema de despliegue, debe hacer lo siguiente:

A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:

Nombre principal de servicio para http/iosmdm.mydom.local

En el dominio, tiene que registrar el nombre principal de servicio (SPN) en el dispositivo con el servicio web de MDM para iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuración de las propiedades de dominio del dispositivo con el proxy inverso (firewall.mydom.local)

Para delegar el tráfico, delegue el dispositivo con el proxy inverso (firewall.mydom.local) al servicio que es definido por SPN (http/iosmdm.mydom.local).

Para delegar el dispositivo con el proxy inverso al servicio definido por SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:

  1. En el complemento de Microsoft Management Console denominado "Usuarios y equipos de Active Directory", seleccione el dispositivo con el proxy inverso instalado (firewall.mydom.local).
  2. En las propiedades del dispositivo, en la pestaña Delegación, configure la opción Confiar este equipo para delegación para un servicio especificado únicamente en Usar cualquier protocolo de autenticación.
  3. Agregue el SPN (http/iosmdm.mydom.local) a los Servicios en los cuales esta cuenta puede presentar credenciales delegadas.

Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)

Tiene que emitir un certificado especial (personalizado) para el servicio web de MDM para iOS en FQDN iosmdm.mydom.global y especificar que reemplaza al certificado predeterminado en la configuración del servicio web de MDM para iOS en la Consola de administración.

Tenga en cuenta que el contenedor del certificado (archivo con la extensión p12 o pfx) también debe contener una cadena de certificados de origen (claves públicas).

Publicación del servicio web de MDM para iOS en el proxy inverso

En el proxy inverso, para el tráfico que va desde un dispositivo móvil al puerto 443 de iosmdm.mydom.global, tiene que configurar KCD en SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que la publicación y el servicio web publicado deben compartir el mismo certificado del servidor.

Consulte también:

Configuración estándar: Kaspersky Device Management for iOS en una DMZ

Integración con la infraestructura de claves públicas

Principio de página