Esquema para conectar dispositivos KES al Servidor en el que se usa la delegación restringida de Kerberos (KCD)

El esquema para conectar dispositivos KES al Servidor de administración utilizando la delegación restringida de Kerberos (KCD) permite lo siguiente:

Al usar este esquema de distribución, tenga en cuenta lo siguiente:

A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:

Cuenta del dominio para el Servidor de administración

Debe crear una cuenta de dominio (por ejemplo, KSCMobileSrvcUsr) bajo la cual se ejecutará el servicio del Servidor de administración. Puede especificar una cuenta para el servicio del Servidor de administración al instalar el Servidor de administración o a través de la utilidad klsrvswch. La utilidad klsrvswch se localiza en la carpeta de instalación del Servidor de administración. La ruta de instalación predeterminada: <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.

Una cuenta de dominio debe ser especificada por las siguientes razones:

Nombre principal del servicio para http/kes4mob.mydom.local

En el dominio, bajo la cuenta KSCMobileSrvcUsr, agregue un SPN para publicar el servicio del protocolo móvil en el puerto 13292 del dispositivo con el Servidor de administración. Para el dispositivo kes4mob.mydom.local con el Servidor de administración, esto aparecerá de la forma siguiente:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configuración de las propiedades del dominio del dispositivo con el proxy inverso (firewall.mydom.local)

Para delegar el tráfico, delegue el dispositivo con el proxy inverso (firewall.mydom.local) al servicio definido por el SPN (http/kes4mob.mydom.local:13292).

Para delegar el dispositivo con el proxy inverso al servicio definido por SPN (http/kes4mob.mydom.local:13292), el administrador debe realizar las siguientes acciones:

  1. En el complemento de Microsoft Management Console denominado "Usuarios y equipos de Active Directory", seleccione el dispositivo con el proxy inverso instalado (firewall.mydom.local).
  2. En las propiedades del dispositivo, en la pestaña Delegación, configure la opción Confiar este equipo para delegación para un servicio especificado únicamente en Usar cualquier protocolo de autenticación.
  3. En los Servicios en los cuales esta cuenta puede presentar credenciales delegada, agregue SPN http/kes4mob.mydom.local:13292.

Certificado especial (personalizado) para la publicación (kes4mob.mydom.global)

Para publicar el protocolo móvil del Servidor de administración, debe emitir un certificado (personalizado) especial para FQDN kes4mob.mydom.global y especificarlo en vez del certificado del servidor predeterminado en la configuración del protocolo móvil del Servidor de administración en la Consola de administración. Para hacerlo, en la ventana de propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y luego seleccione Agregar certificado en la lista desplegable.

Tenga en cuenta que el contenedor del certificado del servidor (el archivo con la extensión p12 o pfx) también debe contener una cadena de certificados raíz (claves públicas).

Configuración de la publicación en el proxy inverso

En el proxy inverso, para el tráfico que va desde un dispositivo móvil al puerto 13292 de kes4mob.mydom.global, tiene que configurar KCD en SPN (http/kes4mob.mydom.local:13292) usando el certificado del servidor emitido para FQND (kes4mob.mydom.global). Tenga en cuenta que la publicación y el punto de acceso publicado (puerto 13292 del Servidor de administración) deben compartir el mismo certificado del servidor.

Consulte también:

Integración con la infraestructura de claves públicas

Suministro de acceso a Internet al Servidor de administración

Servidor de administración en una LAN, dispositivos administrados en Internet, se usa un proxy inverso

Principio de página