连接 KES 设备到 Kerberos constrained delegation (KCD) 管理服务器的方案包括如下:
当使用该连接方案时,请注意以下几点:
您可以通过以下方法确保用户证书与上述需求兼容:
以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:
管理服务器域账户
您必须创建运行管理服务器服务的域账户(例如,KSCMobileSrvcUsr)。您可以在安装管理服务器或使用 klsrvswch 实用工具时指定管理服务器服务账户。klsrvswch 实用工具位于管理服务器安装文件夹。默认安装路径:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
域账户必须由以下原因指定:
http/kes4mob.mydom.local 的服务主体名称
在域中,在 KSCMobileSrvcUsr 账户下,添加 SPN 以在管理服务器设备的端口 13292 发布移动协议服务。对于管理服务器设备 kes4mob.mydom.local,将是如下:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
配置具有反向代理 (firewall.mydom.local) 的设备的域属性
要授权流量,您必须将反向代理设备(tmg.mydom.local) 托付给由 SPN 定义的服务(http/kes4mob.mydom.local:13292)。
要将具有反向代理的设备托付给由 SPN 定义的服务 (http/kes4mob.mydom.local:13292),管理员必须执行以下操作:
要发布的特定(自定义)证书(kes4mob.mydom.global)
要发布管理服务器移动协议,您必须发布一个 FQDN kes4mob.mydom.global 特定(自定义)证书并在管理控制台中管理服务器的移动协议设置中指定它以代替默认服务器证书。为此,在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书。
请注意服务器证书容器(带有 .p12 或 .pfx 扩展名的文件)必须也包含根证书链(公共密钥)。
配置在反向代理上发布
在反向代理上,对于从移动设备到端口 kes4mob.mydom.global 端口 13292 的流量,您必须在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用为 FQND kes4mob.mydom.global 发布的证书。请注意,正发布和已发布的访问点(管理服务器端口 13292)必须共享相同的服务器证书。