Kaspersky Security Center 14

Schema der Softwareverteilung unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

27. Februar 2024

ID 92516

Um das Bereitstellungsschema mit eingeschränkter Kerberos-Delegierung (KCD) zu verwenden, müssen die folgenden Anforderungen erfüllt sein:

  • Der Administrationsserver und der iOS MDM-Server befinden sich im internen Netzwerk der Organisation.
  • Es wird eine Unternehmensfirewall mit KCD-Unterstützung verwendet.

Dieses Bereitstellungsschema setzt voraus:

  • Integration in die Unternehmens-Firewall, die KCD . unterstützt
  • Nutzung zur Authentifizierung der mobilen Geräte mit Kerberos' erzwungener Delegierung (KCD)
  • Integration mit der Infrastruktur der offenen Schlüssel (PKI) zur Nutzung von Benutzerzertifikaten

Bei Verwendung dieses Bereitstellungsschemas muss Folgendes berücksichtigt werden:

  • In der Verwaltungskonsole muss in den Einstellungen des Webdienstes iOS MDM das Kontrollkästchen Kompatibilität mit Kerberos Constrained Delegation gewährleisten aktiviert werden.
  • Als Zertifikat des Webdienstes iOS MDM muss ein besonderes (benutzerspezifisches) Zertifikat angegeben werden, das auf TMG bei der Veröffentlichung des Web-Dienstes iOS MDM festgelegt wird.
  • Die Benutzerzertifikate für die iOS-Geräte müssen vom Domänenzertifizierungszentrum (Certification authority, im Weiteren CA) ausgestellt werden. Wenn es in der Domäne mehrere Stamm-CA gibt, müssen die Benutzerzertifikate von der CA ausgestellt werden, die bei der Veröffentlichung des Webdienstes iOS MDM auf TMG angegeben wurde.

    Die Übereinstimmung des Benutzerzertifikates mit der angegebenen Anforderung kann auf verschiedene Weise gewährleistet werden:

    • Das Benutzerzertifikat im Assistenten für das Erstellen eines iOS MDM-Profils und im Assistenten für die Installation eines Zertifikats angeben.
    • Den Administrationsserver mit Domänen-PKI integrieren und die entsprechende Einstellung in den Regeln für die Ausstellung von Zertifikaten anpassen:
      1. Erweitern Sie die Konsolenstruktur im Ordner Verwaltung mobiler Geräte und wählen Sie den Unterordner Zertifikate aus.
      2. Öffnen Sie durch Klicken auf die Schaltfläche Regeln für das Ausstellen von Zertifikaten anpassen im Arbeitsbereich des Ordners Zertifikate das Fenster Regeln für das Ausstellen von Zertifikaten.
      3. Passen Sie im Abschnitt PKI-Integration die Integration mit der Public-Key-Infrastruktur an.
      4. Geben Sie im Abschnitt Mobilgerät-Zertifikat ausstellen die Quelle der Zertifikate an.

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

  • Der Webdienst iOS MDM wird auf Port 443 gestartet
  • Der Name des Geräts mit der Unternehmens-Firewall lautet Firewall.mydom.local.
  • Der Gerätename mit dem Webdienst iOS MDM lautet iosmdm.mydom.local
  • Der Name der externen Veröffentlichung des Webdienstes iOS MDM lautet iosmdm.mydom.global

Service Principal Name für http/iosmdm.mydom.local

In der Domäne muss der Service Principal Name (SPN) für das Gerät mit dem Webdienst iOS MDM (iosmdm.mydom.local) eingetragen werden:

setspn -a http/iosmdm.mydom.local iosmdm

Konfigurieren der Domäneneigenschaften des Geräts mit der Unternehmens-Firewall (firewall.mydom.local)

Für die Delegierung des Datenverkehres wird das Gerät mit TMG (tmg.mydom.local) dem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/iosmdm.mydom.local).

Um das Gerät mit TMG dem gemäß SPN bestimmten Dienst anzuvertrauen (http/iosmdm.mydom.local), muss der Administrator wie folgt vorgehen:

  1. Im Snap-in Microsoft Management Console "Active Directory Users and Computers" muss das Gerät mit installiertem TMG (tmg.mydom.local) ausgewählt werden.
  2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
  3. SPN http/iosmdm.mydom.local zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für den veröffentlichten Webdienst (iosmdm.mydom.global)

Für den Web-Dienst iOS MDM muss ein besonderes (benutzerspezifisches) Zertifikat auf FQDN iosmdm.mydom.global ausgestellt und in der Verwaltungskonsole anstatt des Standardzertifikats in den Einstellungen des Webdienstes iOS MDM angegeben werden.

Es muss berücksichtigt werden, dass im Container mit dem Zertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Veröffentlichungen des Webdienstes iOS MDM auf TMG

Auf TMG muss für den Datenverkehr, der von Seiten des mobilen Geräts auf den Port 443 iosmdm.mydom.global geht, KCD auf SPN http/iosmdm.mydom.local unter Verwendung des für FQDN iosmdm.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Webdienst ein und dasselbe Serverzertifikat verwendet werden muss.

Siehe auch:

Typische Konfiguration: Kaspersky Device Management für iOS in der DMZ

Integration mit Public Key Infrastructure

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.