Anschlussschema für KES-Geräte mit dem Server unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:

• Integration in eine Unternehmens-Firewall mit KCD-Unterstützung
• Nutzung der erzwungenen Delegierung Kerberos Constrained Delegation (im Weiteren KCD) für die Authentifizierung der mobilen Geräte.
• Integration mit der Infrastruktur der offenen Schlüssel (Public Key Infrastructure, im Weiteren PKI) zur Verwendung von Benutzerzertifikaten.

Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:

• Der Verbindungstyp der KES-Geräte zur Unternehmen-Firewall muss "two-way SSL authentication" sein. Das heißt, das Gerät muss gemäß seines proprietären Benutzerzertifikats mit der Unternehmens-Firewall verbunden werden. Dazu muss im Installationspaket von Kaspersky Endpoint Security für Android, das auf dem Gerät installiert ist, das Benutzerzertifikat integriert sein. Dieses KES-Paket muss vom Administrationsserver speziell für das betreffende Gerät (den Benutzer) erstellt worden sein.
• Anstelle des Standardserverzertifikats muss für das mobile Protokoll ein besonderes (benutzerspezifisches) Zertifikat angegeben werden:
  1. Aktivieren Sie Im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen, wählen Sie in der Dropdown-Liste die Option Zertifikat hinzufügen aus.
  2. Geben Sie im folgenden Fenster dasselbe Zertifikat an, das in der Unternehmens-Firewall bei der Veröffentlichung des Zugriffspunkts für das mobile Protokoll auf dem Administrationsserver festgelegt ist.
• Die Benutzerzertifikate für die KES-Geräte müssen von der Domänen-Certificate Authority (CA) ausgestellt werden. Beachten Sie dabei: Sollte die Domain mehrere Stamm-CAs beinhalten, müssen die Benutzerzertifikate mit jener CA ausgestellt werden, die bei der Veröffentlichung der Unternehmens-Firewall festgelegt wurde.

  Die Übereinstimmung mit den Anforderungen des oben erwähnten Benutzerzertifikates kann auf verschiedene Weisen gewährleistet werden:

  • Ein besonderes Benutzerzertifikat im Assistenten für das Erstellen von Installationspaketen und im Assistenten für die Installation eines Zertifikats angeben.
  • Den Administrationsserver mit Domänen-PKI integrieren und die entsprechende Einstellung in den Regeln für die Ausstellung von Zertifikaten anpassen:
    1. Erweitern Sie die Konsolenstruktur im Ordner Verwaltung mobiler Geräte und wählen Sie den Unterordner Zertifikate aus.
    2. Öffnen Sie durch Klicken auf die Schaltfläche Regeln für das Ausstellen von Zertifikaten anpassen im Arbeitsbereich des Ordners Zertifikate das Fenster Regeln für das Ausstellen von Zertifikaten.
    3. Passen Sie im Abschnitt PKI-Integration die Integration mit der Public-Key-Infrastruktur an.
    4. Geben Sie im Abschnitt Mobilgerät-Zertifikat ausstellen die Quelle der Zertifikate an.

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

• Der Zugriffspunkt auf das mobile Protokoll auf dem Administrationsserver liegt auf Port 13292.
• Der Name des Geräts mit der Unternehmens-Firewall lautet firewall.mydom.local.
• Der Gerätename mit dem Administrationsserver lautet ksc.mydom.local.
• Der Name der externen Veröffentlichung des Zugriffspunkts auf das mobile Protokoll lautet kes4mob.mydom.global.

Domänenbenutzerkonto für den Administrationsserver

Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".

Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:

• Die Funktionalität zur Verwaltung von KES-Geräten ist ein untrennbarer Bestandteil des Administrationsservers.
• Für die ordnungsgemäße Ausführung der erzwungenen Delegierung (KCD) muss die übernehmende Seite, also der Administrationsserver ist, unter dem Domänenbenutzerkonto arbeiten.

Service Principal Name für http/kes4mob.mydom.local

In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Konfigurieren der Domäneneigenschaften des Geräts mit der Unternehmens-Firewall (firewall.mydom.local)

Für die Delegierung des Datenverkehres muss das Gerät mit der Unternehmens-Firewall (firewall.mydom.local) dem Dienst anvertraut werden, der gemäß SPN festgelegt wurde (http/kes4mob.mydom.local:13292).

Um das Gerät mit der Unternehmens-Firewall dem gemäß SPN bestimmten Dienst anzuvertrauen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:

1. Im dem Microsoft Management Console-Snap-in namens "Active Directory Users and Computers" muss das Gerät mit installierter Unternehmens-Firewall (firewall.mydom.local) ausgewählt werden.
2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
3. SPN http/kes4mob.mydom.local:13292 zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)

Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.

Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Konfigurieren der Veröffentlichung in der Unternehmens-Firewall

In der Unternehmens-Firewall muss für den Datenverkehr, der von einem mobilen Gerät auf dem Port 139292 von kes4mob.mydom.global eingeht, die KCD auf dem SPN (http/kes4mob.mydom.local.13292) unter Verwendung des für FQDN (kes4mob.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.