Schéma de déploiement avec utilisation de la délégation forcée Kerberos (KCD)

Support

Solutions pour les entreprises

Kaspersky Security Center 13

Kaspersky Security Center 13.2

Bonnes pratiques de déploiement

Déploiement des systèmes d'administration des appareils mobiles

Déploiement du système d'administration selon le protocole MDM iOS

Schéma de déploiement avec utilisation de la délégation forcée Kerberos (KCD)

24 août 2023

ID 92516

Enregistrer au format PDF

Pour utiliser le schéma de déploiement avec délégation forcée Kerberos, le Serveur d'administration et le Serveur MDM iOS doivent se trouver dans le réseau interne de l'entreprise.

Ce schéma de déploiement suppose :

Intégration à Microsoft Forefront Threat Management Gateway (ci-après TMG)
Utilisation pour l'authentification des appareils mobiles de la délégation forcée Kerberos Constrained Delegation
Intégration à l'infrastructure à clés publiques (PKI) pour l'utilisation des certificats utilisateurs

Lors de l'utilisation de ce schéma de déploiement, il faut tenir compte des points suivants :

Dans la Console d'administration, cochez la case Assurer la conformité avec Kerberos Constraint Delegation dans les paramètres du service Internet MDM iOS.
En guise de certificat du service Internet MDM iOS, il faut désigner le certificat spécial (personnalisé), défini sur TMG lors de la publication du service Internet MDM iOS.
Les certificats utilisateurs pour les appareils iOS doivent être émis par l'Autorité de certification du domaine (ci-après, l'AC). S'il existe plusieurs AC racine dans le domaine, les certificats utilisateurs doivent être émis par l'AC indiquée lors de la publication du service Internet MDM iOS sur TMG.
Il existe plusieurs moyens pour garantir la conformité du certificat utilisateur avec cette exigence :
- Désigner le certificat utilisateur dans l'Assistant de création du profil MDM iOS et dans l'Assistant d'installation des certificats.
- Intégrer le Serveur d'administration à la PKI du domaine et configurer le paramètre correspondant dans les règles d'émission des certificats :
  1. Dans l'arborescence de la console, développez le dossier Administration des appareils mobiles et sélectionnez le sous-dossier Certificats.
  2. Dans l'espace de travail du dossier Certificats, cliquez sur le bouton Configurer les règles d'émission des certificats pour ouvrir la fenêtre Règles d'émission des certificats.
  3. Configurez l'intégration à l'infrastructure à clé publique dans la section Intégration avec PKI.
  4. Dans la section Émission des certificats de messagerie, indiquez la source des certificats.

Voyons l'exemple de configuration de la délégation restreinte KCD avec les conditions suivantes :

Le service Internet MDM iOS est lancé sur le port 443.
le nom de l'appareil avec TMG est tmg.mydom.local.
Le nom de l'appareil avec le service Internet MDM iOS est iosmdm.mydom.local.
Le nom de la publication extérieure du service Internet MDM iOS est iosmdm.mydom.global.

Service Principal Name pour http/iosmdm.mydom.local

Dans le domaine, il faut désigner Service Principal Name (SPN) pour l'appareil doté du service Internet MDM iOS (iosmdm.mydom.local) :

setspn -a http/iosmdm.mydom.local iosmdm

Configuration des propriétés de domaine des appareils avec TMG (tmg.mydom.local)

Pour déléguer le trafic, confier l'appareil avec TMG (tmg.mydom.local) au service défini selon SPN (http/iosmdm.mydom.local).

Pour confier l'appareil avec TMG au service défini selon SPN (http/iosmdm.mydom.local), l'administrateur doit exécuter les actions suivantes :

Dans le module logiciel enfichable de Microsoft Management Console "Active Directory Users and Computers", il faut choisir l'appareil doté de TMG (tmg.mydom.local).
Dans les propriétés de l'appareil, sous l'onglet Delegation, choisir l'option Use any authentication protocol pour le commutateur Trust this computer for delegation to specified service only.
Dans la liste Services to which this account can present delegated credentials ajouter SPN http/iosmdm.mydom.local.

Certificat spécial (personnalisé) pour le service Internet publié (iosmdm.mydom.global)

Il faut émettre le certificat spécial (personnalisé) pour le service Internet MDM iOS sur le nom de domaine complet iosmdm.mydom.global et le désigner comme substitution du certificat par défaut dans les paramètres du service Internet MDM iOS dans la Console d'administration.

N'oubliez pas que le conteneur où se trouve le certificat (fichier avec extension p12 ou pfx) doit également contenir la chaîne de certificats racines (les parties publiques).

Publications du service Internet MDM iOS sur TMG

Sur TMG, pour le trafic allant du côté de l'appareil mobile sur le port 443 port iosmdm.mydom.global, il faut configurer KCD sur SPN http/iosmdm.mydom.local avec l'utilisation du certificat émis pour le nom de domaine complet iosmdm.mydom.global. N'oubliez pas qu'il faut prévoir le même certificat serveur pour les publications et pour le service Internet publié.

Voir également :

Configuration typique : Kaspersky Device Management for iOS en zone démilitarisée

Intégration avec l'infrastructure à clé publique

Kaspersky Security Center : automatisation de la sécurité informatique et obtention d'une vue à 360°

Une console d'administration puissante, avec une autre interface flexible basée sur le Web disponible où que vous soyez, depuis n'importe quel appareil. Achetez avec Endpoint Security for Business Advanced.

Services d'assistance haut de gamme : traitement prioritaire des incidents

Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.

Cet article vous a-t-il été utile ?

Que pouvons-nous améliorer ?

Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.