Schéma de la connexion des appareils KES au serveur avec utilisation de la délégation forcée Kerberos (KCD)

Le schéma de connexion des appareils KES au Serveur d'administration avec utilisation de Kerberos Constrained Delegation (KCD) suppose :

• Intégration avec un pare-feu d'entreprise qui prend en charge KCD.
• L'utilisation de la délégation forcée Kerberos Constrained Delegation (ci-après KCD) pour l'authentification des appareils mobiles.
• L'intégration à l'infrastructure à clés publiques (Public Key Infrastructure, ci-après) pour l'utilisation des certificats utilisateurs.

Lors de l'utilisation de ce schéma de connexion, il faut tenir compte des points suivants :

• Le type de connexion des appareils KES au pare-feu d'entreprise doit être une authentification bilatérale SSL (« two-way SSL authentication »), à savoir que l'appareil doit se connecter au pare-feu d'entreprise selon son certificat utilisateur. Pour cela, il faut intégrer le certificat utilisateur au paquet d'installation de Kaspersky Endpoint Security for Android installé sur l'appareil. Ce paquet KES doit être créé par le Serveur d'administration spécialement pour cet appareil (utilisateur).
• Au lieu du certificat de serveur, il faut indiquer par défaut pour le protocole mobile un certificat spécial (personnalisé) :
  1. Dans la section Paramètres de la fenêtre des propriétés du Serveur d'administration, cocher la case Ouvrir le port pour les appareils mobiles, puis choisir Ajouter un certificat dans la liste déroulante.
  2. Dans la fenêtre qui s'ouvre, indiquer le même certificat que celui désigné sur le pare-feu d'entreprise lors de la publication du point d'accès au protocole mobile sur le Serveur d'administration.
• Les certificats utilisateurs pour les appareils KES doivent être émis par l'Autorité de certification du domaine (AC). De plus, il ne faut pas oublier que si le domaine compte plusieurs AC racine, les certificats utilisateurs doivent être émis par l'AC indiqué dans la publication sur le pare-feu d'entreprise.

  Il existe plusieurs moyens pour garantir la conformité du certificat utilisateur avec l'exigence présentée ci-dessus :

  • Désigner le certificat utilisateur spécial dans l'Assistant de création du paquet d'installation et dans l'Assistant d'installation des certificats.
  • Intégrer le Serveur d'administration à la PKI du domaine et configurer le paramètre correspondant dans les règles d'émission des certificats :
    1. Dans l'arborescence de la console, développez le dossier Administration des appareils mobiles et sélectionnez le sous-dossier Certificats.
    2. Dans l'espace de travail du dossier Certificats, cliquez sur le bouton Configurer les règles d'émission des certificats pour ouvrir la fenêtre Règles d'émission des certificats.
    3. Configurez l'intégration à l'infrastructure à clé publique dans la section Intégration avec PKI.
    4. Dans la section Émission des certificats de messagerie, indiquez la source des certificats.

Voyons l'exemple de configuration de la délégation restreinte KCD avec les conditions suivantes :

• Le point d'accès au protocole mobile sur le Serveur d'administration est offert sur le port 13292.
• Le nom de l'appareil doté du pare-feu d'entreprise est pare-feu.mydom.local.
• Le nom de l'appareil avec le Serveur d'administration est ksc.mydom.local.
• Le nom de la publication externe du point d'accès au protocole mobile est kes4mob.mydom.global.

Compte utilisateur de domaine pour le Serveur d'administration

Il faut créer un compte utilisateur de domaine (par exemple, KSCMobileSrvcUsr) sous lequel le service du Serveur d'administration va fonctionner. Il est possible d'indiquer le compte utilisateur du service du Serveur d'administration lors de l'installation du Serveur d'administration ou à l'aide de l'utilitaire klsrvswch. L'utilitaire klsrvswch se trouve dans le dossier d'installation du Serveur d'administration. Chemin d'installation par défaut : <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Il faut désigner le compte utilisateur de domaine pour les raisons suivantes :

• La fonction d'administration des appareils KES est une partie intégrante du Serveur d'administration.
• Pour garantir le bon fonctionnement de la délégation forcée (KCD), la partie réceptrice, qui est le Serveur d'administration, doit fonctionner sous un compte utilisateur de domaine.

Service Principal Name pour http/kes4mob.mydom.local

Dans le domaine, il faut prescrire sous le compte utilisateur KSCMobileSrvcUsr Service Principal Name (SPN) pour la publication du service du protocole mobile sur le port 13292 de l'appareil avec le Serveur d'administration. Pour l'appareil kes4mob.mydom.local avec le Serveur d'administration, cela ressemble à ceci :

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configuration des propriétés du domaine de l'appareil doté du pare-feu d'entreprise (firewall.mydom.local)

Pour déléguer le trafic, il faut confier l'appareil avec le pare-feu d'entreprise (firewall.mydom.local) au service défini selon SPN (http/kes4mob.mydom.local:13292).

Pour confier l'appareil avec le pare-feu d'entreprise au service défini selon SPN (http/kes4mob.mydom.local:13292), l'administrateur doit exécuter les actions suivantes :

1. Dans le module logiciel enfichable de Microsoft Management Console "Active Directory Users and Computers", il faut choisir l'appareil doté du pare-feu d'entreprise (firewall.mydom.local).
2. Dans les propriétés de l'appareil, sous l'onglet Delegation, choisir l'option Use any authentication protocol pour le commutateur Trust this computer for delegation to specified service only.
3. Dans la liste Services to which this account can present delegated credentials ajouter SPN http/kes4mob.mydom.local:13292.

Certificat spécial (personnalisé) pour la publication (kes4mob.mydom.global)

Pour la publication du protocole mobile du Serveur d'administration il faut octroyer un certificat spécial (personnalisé) au nom de domaine complet kes4mob.mydom.global et le désigner en substitution au certificat serveur par défaut dans les paramètres du protocole mobile du Serveur d'administration dans la Console d'administration. Pour cela, dans la section Paramètres de la fenêtre des propriétés du Serveur d'administration, il faut cocher la case Ouvrir le port pour les appareils mobiles, puis choisir Ajouter un certificat dans la liste déroulante.

N'oubliez pas que le conteneur où se trouve le certificat serveur (fichier avec extension p12 ou pfx) doit également contenir la chaîne de certificats racines (les parties publiques).

Configuration de la publication sur le pare-feu d'entreprise

Sur le pare-feu d'entreprise, pour le trafic allant du côté de l'appareil mobile sur le port 13292 port kes4mob.mydom.global, il faut configurer KCD sur SPN kes4mob.mydom.global:13292 avec l'utilisation du certificat serveur émis pour le nom de domaine complet kes4mob.mydom.global. N'oubliez pas qu'il faut prévoir le même certificat serveur pour les publications et pour le point d'accès publié (port 13292 du Serveur d'administration).