Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:
Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:
Die Übereinstimmung mit den Anforderungen des oben erwähnten Benutzerzertifikates kann auf verschiedene Weisen gewährleistet werden:
Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:
Domänenbenutzerkonto für den Administrationsserver
Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".
Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:
Service Principal Name für http/kes4mob.mydom.local
In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Konfigurieren der Domäneneigenschaften des Geräts mit dem Reverse-Proxy (firewall.mydom.local)
Für die Delegierung des Datenverkehres muss das Gerät mit dem Reverse-Proxy (firewall.mydom.local) jenem Dienst vertraut gemacht werden, der gemäß SPN festgelegt wurde (http/kes4mob.mydom.local:13292).
Um das Gerät mit dem Reverse-Proxy dem gemäß SPN bestimmten Dienst vertraut zu machen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:
Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)
Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.
Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.
Veröffentlichung auf dem Reverse-Proxy konfigurieren
Auf dem Reverse-Proxy muss für den Datenverkehr, der ausgehend von einem mobilen Gerät auf dem Port 139292 von kes4mob.mydom.global eingeht, die KCD auf dem SPN (http/kes4mob.mydom.local.13292) unter Verwendung des für den FQDN (kes4mob.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.