Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD) uwzględnia:
Podczas korzystania z tego schematu połączenia należy pamiętać, że:
Możesz upewnić się, że certyfikat użytkownika jest zgodny z wyżej opisanymi wymaganiami przy użyciu jednej z następujących metod:
Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:
Konto domeny dla Serwera administracyjnego
Należy utworzyć konto domeny (na przykład: KSCMobileSrvcUsr), z poziomu którego będzie uruchamiana usługa Serwera administracyjnego. Konto dla usługi Serwera administracyjnego można określić podczas instalacji Serwera administracyjnego lub poprzez narzędzie klsrvswch. Narzędzie klsrvswch znajduje się w folderze instalacyjnym Serwera administracyjnego.
Konto domeny musi zostać określone z następujących względów:
Nazwa główna usługi dla http/kes4mob.mydom.local
W domenie, z poziomu konta KSCMobileSrvcUsr, dodaj SPN dla publikacji usługi protokołu mobilnego na porcie 13292 urządzenia z Serwerem administracyjnym. Dla urządzenia kes4mob.mydom.local z Serwerem administracyjnym będzie to wyglądało w następujący sposób:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Konfigurowanie właściwości domeny urządzenia z TMG (tmg.mydom.local)
Aby przeprowadzić ruch sieciowy, przełącz urządzenie z TMG (tmg.mydom.local) do usługi, która jest definiowana po SPN (http/kes4mob.mydom.local:13292).
W celu przełączenia urządzenia z TMG do usługi definiowanej po SPN (http/kes4mob.mydom.local:13292), administrator musi wykonać następujące działania:
Specjalny (niestandardowy) certyfikat dla publikacji (kes4mob.mydom.global)
Aby opublikować protokół mobilny Serwera administracyjnego, należy wystawić specjalny (niestandardowy) certyfikat dla FQDN kes4mob.mydom.global, a także określić go w miejsce domyślnego certyfikatu serwera w ustawieniach protokołu mobilnego Serwera administracyjnego, w Konsoli administracyjnej. W tym celu, w oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.
Należy pamiętać, że kontener certyfikatów serwera (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).
Konfigurowanie publikacji na TMG
Na TMG, dla ruchu przechodzącego z urządzenia mobilnego do portu 13292 usługi kes4mob.mydom.global należy skonfigurować KCD na SPN (http/kes4mob.mydom.local:13292), korzystając z certyfikatu serwera opublikowanego dla FQDN kes4mob.mydom.global. Nie można zapominać, że publikacja oraz opublikowany punkt dostępu (port 13292 Serwera administracyjnego) powinny korzystać z tego samego certyfikatu serwera.