Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:
Quando si utilizza questo schema di connessione, tenere presente quanto segue:
È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:
Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:
Account di dominio per Administration Server
È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
È necessario specificare un account di dominio per i motivi seguenti:
Nome dell'entità servizio per http/kes4mob.mydom.local
Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Configurazione delle proprietà di dominio del dispositivo con TMG (tmg.mydom.local)
Per delegare il traffico, è necessario impostare come attendibile il dispositivo con TMG (tmg.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).
Per impostare come attendibile il dispositivo con TMG per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:
Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)
Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.
Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).
Configurazione della pubblicazione in TMG
In TMG, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.