Esquema para conectar dispositivos KES al Servidor en el que se usa la delegación restringida de Kerberos (KCD)

El esquema para conectar dispositivos KES al Servidor de administración utilizando la delegación restringida de Kerberos (KCD) permite lo siguiente:

• Integración con un firewall corporativo compatible con KCD.
• Uso de la delegación restringida de Kerberos (denominado en lo sucesivo KCD) para la autenticación de dispositivos móviles.
• Integración con una infraestructura de claves públicas (denominada, en lo sucesivo, PKI) para aplicar certificados de usuario.

Al usar este esquema de distribución, tenga en cuenta lo siguiente:

• El tipo de conexión de dispositivos KES al firewall corporativo debe ser la "autenticación SSL bidireccional", es decir, un dispositivo debe conectarse al firewall corporativo a través de su certificado cliente (certificado de usuario) de propiedad. Para hacer esto, tiene que integrar el certificado cliente (certificado de usuario) en el paquete de instalación de Kaspersky Endpoint Security para Android, que se ha instalado en el dispositivo. Este paquete KES debe ser creado por el Servidor de administración expresamente para este dispositivo (usuario).
• Debe especificar el certificado (personalizado) especial en vez del certificado del servidor predeterminado para el protocolo móvil:
  1. En la ventana de Propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y seleccione Agregar certificado en la lista desplegable.
  2. En la ventana que se abre, especifique el mismo certificado que se configuró en el firewall corporativo cuando el punto de acceso al protocolo móvil se publicó en el Servidor de administración.
• Los certificados de usuario para dispositivos KES deben ser emitidos por la Entidad de certificación (CA) del dominio. Tenga en cuenta que si el dominio incluye varias CA originales, los certificados de usuario deben ser emitidos por la CA que se haya configurado en la publicación del firewall corporativo.

  Se puede asegurar de que el certificado cliente (certificado de usuario) cumpla con el requisito descrito anteriormente usando uno de los métodos siguientes:

  • Especifique el certificado de usuario especial en el Asistente de nuevo paquete y en el Asistente de instalación de certificados.
  • Integre el Servidor de administración con PKI del dominio y defina el parámetro correspondiente en las reglas para la emisión de certificados:
    1. En el árbol de consola, expanda la carpeta Administración de dispositivos móviles y seleccione la subcarpeta Certificados.
    2. En el espacio de trabajo de la carpeta Certificados, haga clic en el botón Configurar reglas de emisión de certificados para abrir la ventana Reglas de emisión de certificados.
    3. En la sección Integración con la PKI, configure la integración con la Infraestructura de clave pública.
    4. En la sección Emisión de certificados móviles, especifique el origen de los certificados.

A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:

• El punto del acceso al protocolo móvil en el Servidor de administración está configurado en el puerto 13292.
• El nombre del dispositivo con el firewall corporativo es firewall.mydom.local.
• El nombre del dispositivo con el Servidor de administración es ksc.mydom.local.
• El Nombre de la publicación externa del punto de acceso al protocolo móvil es kes4mob.mydom.global.

Cuenta del dominio para el Servidor de administración

Debe crear una cuenta de dominio (por ejemplo, KSCMobileSrvcUsr) bajo la cual se ejecutará el servicio del Servidor de administración. Puede especificar una cuenta para el servicio del Servidor de administración al instalar el Servidor de administración o a través de la utilidad klsrvswch. La utilidad klsrvswch se localiza en la carpeta de instalación del Servidor de administración. La ruta de instalación predeterminada: <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Una cuenta de dominio debe ser especificada por las siguientes razones:

• La función para la administración de dispositivos KES es una parte integral del Servidor de administración.
• Para asegurar un correcto funcionamiento de la delegación restringida de Kerberos (KCD), el lado de recepción (por ej., el Servidor de administración) se debe ejecutar bajo una cuenta de dominio.

Nombre principal del servicio para http/kes4mob.mydom.local

En el dominio, bajo la cuenta KSCMobileSrvcUsr, agregue un SPN para publicar el servicio del protocolo móvil en el puerto 13292 del dispositivo con el Servidor de administración. Para el dispositivo kes4mob.mydom.local con el Servidor de administración, esto aparecerá de la forma siguiente:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configuración de las propiedades de dominio del dispositivo con el firewall corporativo (firewall.mydom.local)

Para delegar el tráfico, delegue el dispositivo con el firewall corporativo (firewall.mydom.local) al servicio definido por el SPN (http/kes4mob.mydom.local:13292).

Para delegar el dispositivo con el firewall corporativo al servicio definido por SPN (http/kes4mob.mydom.local:13292), el administrador debe realizar las siguientes acciones:

1. En el complemento de Microsoft Management Console denominado "Usuarios y equipos de Active Directory", seleccione el dispositivo con el firewall corporativo instalado (firewall.mydom.local).
2. En las propiedades del dispositivo, en la pestaña Delegación, configure la opción Confiar este equipo para delegación para un servicio especificado únicamente en Usar cualquier protocolo de autenticación.
3. En los Servicios en los cuales esta cuenta puede presentar credenciales delegada, agregue SPN http/kes4mob.mydom.local:13292.

Certificado especial (personalizado) para la publicación (kes4mob.mydom.global)

Para publicar el protocolo móvil del Servidor de administración, debe emitir un certificado (personalizado) especial para FQDN kes4mob.mydom.global y especificarlo en vez del certificado del servidor predeterminado en la configuración del protocolo móvil del Servidor de administración en la Consola de administración. Para hacerlo, en la ventana de propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y luego seleccione Agregar certificado en la lista desplegable.

Tenga en cuenta que el contenedor del certificado del servidor (el archivo con la extensión p12 o pfx) también debe contener una cadena de certificados raíz (claves públicas).

Configuración de la publicación en el firewall corporativo

En el firewall corporativo, para el tráfico que va desde un dispositivo móvil al puerto 13292 de kes4mob.mydom.global, tiene que configurar KCD en SPN (http/kes4mob.mydom.local:13292) usando el certificado del servidor emitido para FQND (kes4mob.mydom.global). Tenga en cuenta que la publicación y el punto de acceso publicado (puerto 13292 del Servidor de administración) deben compartir el mismo certificado del servidor.