نظام توصيل أجهزة KES بالخادم الذي يتضمن تفويض Kerberos المقيّد (KCD)

يعمل نظام توصيل أجهزة KES بخادم الإدارة الذي يتضمن تفويض Kerberos المقيّد (KCD) على ما يلي:

• التكامل مع جدار حماية خاص بالشركة يدعم KCD.‏
• استخدام تفويض Kerberos المقيّد (يُشار إليه فيما بعد باسم KCD) لمصادقة الأجهزة المحمولة.
• التكامل مع البنية الأساسية للمفتاح العام (يُشار إليها فيما بعد باسم PKI) لتطبيق شهادات المستخدم.

عند استخدام نظام الاتصال هذا، الرجاء ملاحظة ما يلي:

• يجب أن يكون نوع اتصال أجهزة KES بجدار الحماية الخاص بالشركة "مصادقة SSL ثنائية الاتجاه"، أي أن الجهاز يجب أن يتصل بجدار الحماية الخاص بالشركة عبر شهادة المستخدم الشخصية الخاصة به. للقيام بذلك، أنت في حاجة لدمج شهادة المستخدم في حزمة تثبيت Kaspersky Endpoint Security for Android، التي تم تثبيتها على الجهاز. يجب إنشاء حزمة KES هذه بواسطة خادم الإدارة خصيصًا لهذا الجهاز (المستخدم).
• يجب عليك تحديد الشهادة الخاصة (المخصصة) بدلاً من شهادة الخادم الافتراضية لبروتوكول الجهاز المحمول:
  1. في نافذة خصائص خادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.
  2. في النافذة التي تفتح، حدد الشهادة ذاتها التي تم تعيينها على جدار الحماية الخاص بالشركة عند نشر نقطة الوصول إلى بروتوكول الجهاز المحمول على خادم الإدارة.
• يجب إصدار شهادات المستخدم لأجهزة KES بواسطة هيئة إصدار الشهادات (CA) الخاصة بالمجال. ضع في اعتبارك في حالة احتواء المجال على هيئات إصدار شهادات جذر متعددة، يجب إصدار شهادات المستخدم بواسطة هيئة إصدار الشهادات (CA)، التي تم تعيينها في النشر على جدار الحماية الخاص بالشركة.

  يمكنك التأكد أن شهادة المستخدم متوافقة مع المتطلب الموضح أعلاه عن طريق استخدام طريقة من الطرق التالية:

  • حدد شهادة المستخدم الخاصة في معالج الحزمة الجديدة وفي معالج تثبيت الشهادة.
  • دمج خادم الإدارة مع البنية الأساسية للمفتاح العام (PKI) وتحديد الإعداد المقابل في قواعد إصدار الشهادات:
    1. في شجرة وحدة التحكم، قم بتوسيع المجلد إدارة الجهاز المحمول، وحدد المجلد الفرعي الشهادات.
    2. في مساحة عمل المجلد الشهادات، انقر فوق الزر تكوين قواعد إصدار الشهادات لفتح النافذة قواعد إصدار الشهادات.
    3. في القسم التكامل مع PKI، قم بتكوين التكامل مع البنية الأساسية للمفتاح العام (PKI).‏
    4. في القسم إصدار شهادات المحمول، حدد مصدر الشهادات.

يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:

• يتم تعيين نقطة الوصول إلى بروتوكول الجهاز المحمول على خادم الإدارة إلى المنفذ 13292.
• اسم الجهاز المزود بجدار الحماية الخاص بالشركة هو firewall.mydom.local.‏
• اسم الجهاز المثبّت عليه خادم الإدارة هو ksc.mydom.local.‏
• اسم النشر الخارجي لنقطة الوصول إلى بروتوكول الجهاز المحمول هو kes4mob.mydom.global.‏

حساب المجال لخادم الإدارة

يجب عليك إنشاء حساب مجال (على سبيل المثال KSCMobileSrvcUsr) الذي ستعمل خدمة خادم الإدارة بموجبه. يمكنك تحديد حساب لخادم الإدارة عند تثبيت خادم الإدارة أو عبر الأداة المساعدة klsrvswch. توجد الأداة المساعدة klsrvswch في مجلد التثبيت الخاص بخادم الإدارة. مسار التثبيت الافتراضي: <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

يجب تحديد حساب مجال للأسباب التالية:

• الميزة إدارة أجهزة KES هي جزء متكامل من خادم الإدارة.
• لضمان العمل الصحيح لتفويض Kerberos المقيّد (KCD)، يجب أن تعمل جهة الاستلام (أي خادم الإدارة) أسفل حساب مجال.

الاسم الأساسي للخدمة لـ http/kes4mob.mydom.local

في المجال، أسفل حساب KSCMobileSrvcUsr، قم بإضافة SPN لنشر خدمة بروتوكول الجهاز المحمول على المنفذ 13292 الخاص بالجهاز المثبّت عليه خادم الإدارة. بالنسبة لجهاز kes4mob.mydom.local المثبّت عليه خادم الإدارة، سيظهر الاسم كمل يلي:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

تكوين خصائص المجال للجهاز باستخدام جدار الحماية الخاص بالشركة (firewall.mydom.local)

لتفويض حركة المرور، يجب عليك اعتماد الجهاز الذي يحتوي على جدار الحماية الخاص بالشركة (firewall.mydom.local)‎ إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎.

لاعتماد الخدمة التي تحتوي على جدار الحماية الخاص بالشركة إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎، يجب أن ينفذ المسؤول الإجراءات التالية:

1. في أداة الإضافة في Microsoft Management Console التي تحمل الاسم "مستخدمو وأجهزة كمبيوتر Active Directory"، حدد الجهاز المثبّت عليه جدار الحماية الخاص بالشركة (firewall.mydom.local)‎.
2. في خصائص الجهاز، من علامة التبويب التفويض، قم بتعيين مؤشر التبديل اعتماد هذا الكمبيوتر للتفويض إلى الخدمة المحددة فقط إلى استخدام أي بروتوكول مصادقة.
3. في قائمة الخدمات التي يمكن لهذا الجهاز تقديم بيانات الاعتماد المفوضة لها، قم بإضافة SPN http/kes4mob.mydom.local:13292.‏

شهادة خاصة (مخصصة) لعملية النشر (kes4mob.mydom.global)

لنشر بروتوكول الجهاز المحمول الخاص بخدام الإدارة، يجب عليك إصدار شهادة خاصة (مخصصة) لـ FQDN kes4mob.mydom.global وحدد شهادة الخادم الافتراضية في إعدادات بروتوكول الجهاز المحمول الخاص بخادم الإدارة في وحدة تحكم الإدارة. للقيام بذلك، في نافذة الخصائص الخاصة بخادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.

الرجاء ملاحظة أن حاوية شهادة الخادم (ملف امتداده ‎p12 أو ‎pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).

تكوين النشر على جدار الحماية الخاص بالشركة

على جدار الحماية الخاص بالشركة، بالنسبة لحركة المرور التي تنتقل من جهة الجهاز المحمول إلى المنفذ 13292 الخاص بـ kes4mob.mydom.global، يجب عليك تكوين KCD على SPN (http/kes4mob.mydom.local:13292)‎، باستخدام شهادة الخادم التي تم إصدارها لـ FQND kes4mob.mydom.global.‏ الرجاء ملاحظة أن النشر ونقطة الوصول المنشورة (المنفذ 13292 الخاص بخادم الإدارة) يجب أن تتشارك شهادة الخادم نفسها.